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Be s chr e ibung 



1 . Bezeichnung 



Verfahren und Computersystem zur Codierung einer digitalen 
Nachricht, zur Ubertragung der Nachricht von einer ersten 
Computereinheit zu einer zweiten Computereinheit und zur De- 
codierung der Nachricht 

2. Technischer Hintergrund ^.eJ^r^ 

Es sind verschiedene Netzwerkprotokolle im Bereich des Manaj_^^^^^* 
gements von Rechnernetzen bekannt . Die Aufgaben fur die Ver- S}:x^,^^\J^ 
waltung von Rechnernetzen wird durch die hohe Verbreitung von ^^^"^^ 
Computern und die immer komplexer werdende Verne tzung von 
Computern zunehmend schwieriger und die dafiir erf order lichen 
Systeme zum Netzmanagement werden immer machtiger. Im Rahmen 
der Verwaltung von Rechnernetzen gewinnt die Frage der Si- 
cherheit des Netzmanagements immer groSere Bedeutung. Die Si- 
cherheit des Netzmanagements hangt sehr stark von den in dem 
System verwendeten Sicherheitstechniken ab. 

Aus dem Dokument (M. Rose, The Simple Book, PTR Prentice 
Hall, 2. Auflage, ISBN 0-13-177254-6, S. 59 - 91, 1994) sind 
verschiedene Netzwerkprotokolle fur das Netzmanagement be- 
kannt, beispielsweise das Simple-Network-Management -protocol 
(SNMP) in der Version 1 (SNMPvl) und in der Version 2 

(SNMPv2) Oder auch das i:ommon-Management -Internet -Protocol 
(CMIP) . 



Das SNMPvl hat bisher die weiteste Verbreitung zur Uberwa- 
chung und Kontrolle von Netzwerkkomponenten sowohl liber loka- 
le Rechnernetze (Local Area Networks, LANs) , als auch bei 
globalen Netzen (Wide -Area-Networks , WANs) . 

Das SNMPvl ist im Rahmen des OSI-Kommunikationsschichten- 
Systems oberhalb der Internetprotokolle User-Datagram- 
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Protocol (UDP) und Internet-Protocol (IP) angeordnet . Sowohl 
das UDP als auch das IP weisen erhebliche Schwachen im Be- 
reich der Sicherheit auf, da Sicherheitsmechanismen in diesen 
Protokollen wenig bis gar nicht integriert sind. 

Im weiteren warden sowohl das SNMP als auch CMIP als Netz- 
werkprotokoll bezeichnet . 

Die Netzwerkprotokolle werden zur Ubertragung von Rechner- 
netz -Management -Information zwischen einer ersten Compu- 
tereinheit, die einen sog. Manager enthalt und mindestens ei- 
ner zweiten Computereinheit , die einen sog. Agenten enthalt, 
verwendet. In einem komplexen Rechnernetz werden liblicherwei- 
se mindestens eine Managementstation und eine beliebige An- 
zahl von von der Managerapplikation iiberwachten und kontrol- 
lierten Rechnern uber das Netzwerkprotokoll iiberwacht bzw. 
gesteuert . 

fEs sind jedoch ebenso Netzwerkmanagementarchitekturen be- 
kannt, die mehrere Hierarchien auf weisen, beispielsweise meh- 
rere Computer die von jeweils einem Manager iiberwacht werden, 
und mehrere Computer, die jeweils eine Managerapplikation 
enthalten, die wiederum von einem weiteren Computer, der eine 
libergeordnete Managerapplikation enthalt, iiberwacht bzw. kon- 
trolliert werden. 

Ein Computer, der eine Managerapplikation des jeweiligen 
Netzwerkprotokolls enthalt, wird im weiteren als erste Compu- 
tereinheit bezeichnet . 

Jede Computereinheit , die einen Agenten implementiert hat, 
wird im weiteren als zweite Computereinheit bezeichnet. 

Es ist moglich, daS ein Computer sowohl als Manager als auch 
als Agent ausgestaltet ist, entsprechend sind die Funktiona- 
litaten in dem Computer enthalten. 
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Das jeweilige Netzwerkprotokoll kann in dem Computer sowohl 
in Hardware als auch in Software realisiert sein. 

Im weiteren wird von einer einfachen Hierarchie ausgegangen, 
d.h. es wird nur der Fall beschrieben, bei dem ein erster 
Computer als Manager eine beliebige Anzahl von zweiten Compu- 
tern, die Agenten, uberwacht, bzw. steuert . Dies dient jedoch 
lediglich der einfacheren Darstellung. Es ist ohne weiteres 
moglich, die Erfindung auch in einer Architektur mit einer 
beliebigen Anzahl von Hierarchieebenen anzuwenden. 

Bei den Netzwerkprotokollen wird von der ersten Computerein- 
heit zu den zweiten Computereinheiten entweder eine Informa- 
tionsabfrage ubertragen oder es wird ein Steuerungswert zur 
Steuerung bzw. Kontrolle der zweiten Computereinheit ubertra- 
gen . 

In jeder zweiten Computereinheit ist es bei den bekannten 
Netzwerkprotokollen liblich, daS die von der zweiten Compu- 
tereinheit im Rahmen des Netzwerkprotokolls verwendete Infor- 
mation in Form einer sog. Management -Information-Base (MIB) , 
die die Struktur einer hierarchischen Datenbank aufweist, 
speichert . 

Die Gesamtstruktur der Management information der Netzwerkpro- 
tokolle wird in einem sog. globalen Registratur-Baum 
(Registraion-Tree) , beispielsweise dem globalen SNMP- 
Registration-Tree gespeichert. Die MIB eines Agenten, also 
einer zweiten Computereinheit, ist ein Teil des Registratur- 
Baums des jeweiligen Netzwerkprotokolls. 

Zur Ubertragung von Information zwischen der ersten- Compu- 
tereinheit und der zweiten Computereinheit werden digitale 
Nachrichten, beispielsweise eine SNMPvl-Nachricht verwendet . 

Eine SNMPvl-Nachricht enthalt eine Versionsnummer , einen sog. 
Community-String und eine SNMPvl-Protocol-Data-Unit (PDU) . 
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Mit der Versionsnummer wird die Version des verwendeten Netz- 
werkprotokolls angegeben. Die Versionsnummer wird bei der Im- 
plementierung des jeweiligen Netzwerkprotokolls festgelegt. 

Der Community-String bei der SNMPvl dient als Passwort fiir 
den Zugang zu einer MIB einer zweiten Computereinheit . Der 
Community-String wird bei SNMPvl unverschliisselt zu dem Agen- 
ten gesendet. In dem Agenten, also der zweiten Computerein- 
heit, wird iiberpruft, ob der Community-String, der jeweils 
zusammen mit einer SNMPvl -Nachricht empfangen wurde, zu einem 
Zugriff in der MIB der zweiten Computereinheit berechtigt. Da 
das Passwort bei SNMPvl unverschliisselt ubertragen wird, ist 
ein MiSbrauch des Community- Strings leicht moglich, bei- 
spielsweise zur Maskierung eines potentiellen Angreifers und 
zum ungefugten Zugriff auf eine zweite Computereinheit, da es 
sehr einfach ist fur einen potentiellen Angreifer, den Commu- 
nity-String zusammen mit einer IP-Senderadresse eines autori- 
sierten Benutzers abzuhoren. 

SNMPvl hat somit praktisch keinerlei wirkungsvolle Sicher- 
heitsmechanismen integriert, insbesondere keine wirkungsvolle 
Authentif ikation des SNMPvl -Managers und als Folge der feh- 
lenden Authentif ikation keine zuverlassige Zugriff skontrolle 
auf Seite des Agenten. Ferner enthalt SNMPvl keine Moglich- 
keit, Sicherheitsmechanismen der Datenintegritat oder der Da- 
tenvertraulichkeit zum implement ieren . Somit ist es fur einen 
potentiellen Angreifer ohne weiteres moglich, iibertragene 
SNMP-PDUs einfach abzuhoren und die ubertragene Information 
zwischen Manager und Agent zu mifibrauchen. 

Die Codierungsregeln der Netzwerkprotokolle sind detailliert 
in (M. Rose, The Simple Book, PTR Prentice Hall, 2. Auflage, 
ISBN 0-13-177254-6, S. 59 - 91, 1994) beschrieben. 

Bei der zweiten Version des SNMP, dem SNMPv2 waren zwar ver- 
schiedene Sicherheitsmechanismen vorgesehen, jedoch war ins- 
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besondere die Verwaltung kryptographischer Schlussel derart 
aufwendig, dafi diese Problematik dazu fuhrte, daS das SNMPv2 
trotz erheblicher grofierer Moglichkeiten zur Verwaltung von 
Rechnernetzen verglichen mit SNMPvl, sich gegeniiber dem 
SNMPvl nicht auf dem Markt durchsetzen konnte . Daher wurde 
der urspriingliche SNMPv2 Standard zuriickgezogen und durch ei 
nen modif izierten Standard, bei dem keine Sicherheit inte- 
griert wurde, ersetzt. 

Auch CMIP, das aufgrund allgemein wesentlich groSerer Komple 
xitat verglichen mit SNMPvl und SNMPv2 kaum Beriicksichtigung 
in Produkten gefunden hat, konnte sich auf dem Markt nicht 
durchsetzen . 

Ferner ist das Konzept von sog. Proxy-Agenten ebenfalls in 
dem Dokument (M. Rose, The Simple Book, PTR Prentice Hall, 2 
Auflage, ISBN 0-13-177254-6, S. 315, 1994) beschrieben. 

3 . Kurzbeschreibung der Erf indung 

Somit liegt der Erf indung das Problem zugrunde, Verfahren so- 
wie eine Computersysteme zur Codierung, Ubertragung und Deco- 
dierung einer digitalen Nachricht anzugeben, bei der krypto- 
graphische Sicherheitsmechanismen vorgesehen sind, die einfa- 
cher sind als bei den bekannten Verfahren und Anordnungen. 

Bei dem Verfahren gemaS Patentanspruch 1 wird eine digitale 
Nachricht, die von der ersten Computereinheit zu der zweiten 
Computereinheit libertragen werden soil, unter Verwendung ei- 
nes Codierungsf ormats eines Netzwerkprotokolls zu einer co- 
dierten Nachricht codiert . Die codierte Nachricht wird minde- 
stens einem kryptographischen Verfahren unterzogen und die 
kryptographisch bearbeitete codierte Nachricht wird wiederum 
unter Verwendung des Codierungsf ormats des Netzwerkprotokolls 
codiert . 
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Bei dem Verfahren gemafi Patentanspruch 2 wird die Nachricht 
entsprechend dem Codierungsf ormat des Netzwerkprotokolls de- 
codiert . Ferner wird die decodierte kryptographisch bearbei- 
tete Nachricht einem zu dem mindestens einen kryptographi - 
schen Verfahren inversen kryptographischen Verfahren unterzo- 
gen und die invers kryptographisch bearbeitete Nachricht ent- 
sprechend dem Codierungsf ormat des Netzwerkprotokolls deco- 
diert . 

Bei dem Verfahren gemaB Patentanspruch 3 wird eine digitale 
Nachricht, die von der ersten Computereinheit zu der zweiten 
Computereinheit libertragen werden soil, unter Verwendung ei- 
nes Codierungsf ormats eines Netzwerkprotokolls zu einer co- 
dierten Nachricht codiert . Die codierte Nachricht wird minde- 
stens einem kryptographischen Verfahren unterzogen und die 
kryptographisch bearbeitete codierte Nachricht wird wiederum 
unter Verwendung des Codierungsf ormats des Netzwerkprotokolls 
codiert. Nach erfolgter Codierung wird die gesamte Nachricht 
von der ersten Computereinheit mindestens zur zweiten Compu- 
tereinheit ubertragen. Die empfangene Nachricht wird in der 
zweiten Computereinheit entsprechend dem Codierungsf ormat des 
Netzwerkprotokolls decodiert , Anschliefiend wird die decodier- 
te Nachricht dem zu dem verwendeten kryptographischen Verfah- 
ren inversen kryptographischen Verfahren unterzogen. In einem 
letzten Schritt wird die invers kryptographisch bearbeitete 
Nachricht entsprechend dem Codierungsf ormat des Netzwerkpro- 
tokolls decodiert . 

Durch die "doppelte" Codierung bzw. Decodierung mit dem je- 
weiligen Netzwerkprotokoll wird ,eine sehr einfache, standard- 
konforme Losung vorgeschlagen, die Ubertragung von Nachrich- 
ten eines Netzwerkprotokolls kryptographisch abzusichern. 
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Das Verfahren weist ferner den erheblichen Vorteil der einfa- 
chen Realisierbarkeit und somit der schnellen Durchf lihrbar- 
keit mit Hilfe eines Rechners auf . 

Ein weiterer Vorteil ist darin zu sehen, daS die Netzwerkpro- 
tokolle unverandert bleiben konnen und keine neuen Netzwerk- 
protokolle definiert werden mussen. Somit ist keine aufwendi- 
ge Versionsumstellung oder gar Neudef inition von. Netzwerkpro- 
tokollen erf orderlich . Die kryptographische Sicherheit des 
jeweiligen Netzwerkprotokolls kann ohne grofieren Aufwand er- 
heblich erhoht werden. 



Das Computersystem gemalS Patentanspruch 12 enthalt mindestens 
eine/Recheneinheit , die derart eingerichtet ist, daS das Ver- 
fahren nach einem der Anspriiche 1 bis 11 durchgefiihrt wird. 



Das Computersystem gemaS Patentanspruch 13 zur Codierung ei- 
ner digitalen Nachricht unter Verwendung eines Codierungsf or- 
mats eines Netzwerkprotokolls, umfalSt mindestens folgende 
Komponenten : 

- ein erstes Mittel zur Codierung der digitalen Nachricht un- 
ter Verwendung des Codierungsf ormats des Netzwerkprotokolls 
zu einer codierten Nachricht, 

- ein zweites Mittel zur kryptographischen *Bearbeitung der 
codierten Nachricht, 

- ein drittes Mittel zur Codierung der kryptographisch bear- 
beiteten Nachricht unter Verwendung des Codierungsf ormats des 
Netzwerkprotokolls . 

Das Computersystem gemafi Patentanspruch 14 zur Decodierung 
einer digitalen Nachricht, welches in einem Codierungsf ormat 
eines Netzwerkprotokolls vorliegt, umfalSt ^mindestens folgende 
Komponenten : 

-- ein fiinftes Mittel zum Empfangen der codierten kryptogra- 
phisch bearbeiteten Nachricht von der ersten Computereinheit , 
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ein sechstes Mittel zur Decodierung der empfangenen Nach- 
richt entsprechend dem Codierungsf ormat des Netzwerkproto- 
kolls , 

ein siebtes Mittel zur inversen kryptographischen Bearbei- 
tung der decodierten kryptographisch bearbeiteten Nachricht, 
und 

-- ein achtes Mittel zur Decodierung der invers kryptogra- 
phisch bearbeiteten Nachricht entsprechend dem Codierungsf or- 
mat des Netzwerkprotokolls . 

Das Computersystem gemaS Patentanspruch 15 zur Codierung ei- 
ner digitalen Nachricht, zur Ubertragung der Nachricht von 
einer ersten Computereinheit zu einer zweiten Computereinheit 
und zur Decodierung der Nachricht enhalt mindestens folgende 
Komponenten, 

- eine erste Computereinheit, die mindestens folgende Kompo- 
nenten umf aSt : 

-- ein erstes Mittel zur Codierung der digitalen Nachricht 
unter Verwendung eines Codierungsf ormat s eines Netzwerkproto- 
kolls zu einer codierten Nachricht, 

-- ein zweites Mittel zur kryptographischen Bearbeitung der 
codierten Nachricht, 

-- ein drittes Mittel zur Codierung der kryptographisch bear- 
beiteten Nachricht unter Verwendung des Codierungsf ormats des 
Netzwerkprotokolls , 

ein viertes Mittel zum Senden der codierten kryptogra- 
phisch bearbeiteten Nachricht von der ersten Computereinheit 
zu der zweiten Computereinheit, 

- eine zweite Computereinheit, die mindestens folgende Kompo- 
nenten umf afit : 

ein fiinftes Mittel zum Empfangen der codierten kryptogra- 
phisch bearbeiteten Nachricht von der ersten Computereinheit, 

ein sechstes Mittel zur Decodierung der empfangenen Nach- 
richt entsprechend dem Codierungsf ormat des Netzwerkproto- 
kolls, 
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ein siebtes Mittel zur inversen kryptographischen Bearbei- 
tung der decodierten kryptographisch bearbeiteten Nachricht, 
und 

ein achtes Mittel zur Decodierung der invers kryptogra- 
phisch bearbeiteten Nachricht entsprechend dem Codierungsf or- 
mat des Netzwerkprotokolls . 

Somit weisen die Computersysteme die oben im Zusammenhang mit 
dem Verfahren beschriebenen Vorteile ebenfalls auf . 

Vorteilhafte Weiterbildungen der Erfindung ergeben sich aus 
den abhangigen Anspriichen. 

Besonders vorteilhaft ist das Verfahren im Zusammenhang mit 
SNMPvl als Netzwerkprotokoll anwendbar, da fur SNMPvl bisher 
praktisch keine kryptographische Sicherheit vorhanden ist. 

Doch auch bei den anderen Netzwerkprotokollen kann dieses 
Verfahren und die entsprechende Anordnung zur Durchfiihrung 
des Verfahrens verwendet werden, da auch dort die Gesamtkom- 
plexitat des jeweiligen Netzwerkprotokolls erheblich redu- 
ziert wird. 

Ferner ist es bei dem Computersystem vorteilhaft, ein zweites 
Mittel zur kryptographischen Bearbeitung der codierten Nach- 
richt, ein drittes Mittel zur Codierung der kryptographisch 
bearbeiteten Nachricht unter Verwendung des Codierungsf ormats 
des Netzwerkprotokolls sowie ein viertes Mittel zum Senden 
der codierten kiryptographisch bearbeiteten Nachricht zu der 
zweiten Computereinheit als einen sog. Proxy- Agenten auszuge- 
stalten, der liber eine als gesichert angenommene Kommunikati- 
onsverbindung zu dem ersten Mittel zur Codierung der digita- 
len Nachricht unter Verwendung des Netzwerkprotokolls verbun- 
den ist. Der erste Proxy-Agent und die erste Computereinheit 
konnen gemeinsam in einer Computereinheit oder auch in zwei 
unterschiedlichen Computereinheiten realisiert sein. 
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Auf diese Weise wird unter Verwendung der Proxy- Technik, die 
aus dem Dokument (M. Rose, The Simple Book, PTR Prentice 
Hall, 2. Auflage, ISBN 0-13-177254-6, S. 315, 1994) bekannt 
ist, die Realisierung eines Computersystems zur kryptogra- 
phisch sicheren Ubertragung von Nachrichten des Codierungs- 
formats eines Netzwerkprotokolls erreicht . 

Dieser Vorteil ist ebenso dann gegeben, wenn ein fiinftes Mit 
tel zum Empfang der codierten kryptographisch bearbeiteten 
Nachricht, ein sechstes Mittel zur Decodierung der empfange- 
nen Nachricht entsprechend dem Codierungsf ormat des Netzwerk 
protokolls sowie ein siebtes Mittel zur inversen kryptogra- 
phischen Bearbeitung der decodierten kryptographisch bearbei 
teten Nachricht zusammen in einem zweiten Proxy- Agenten rea- 
lisiert sind, der liber eine als gesichert angenommene Kommu- 
nikationsverbindung mit dem Agenten der zweiten Computerein- 
heit unter Verwendung des Netzwerkprotokolls verbunden ist. 




4 . Kurzbeschreibimg der Figuren 



In den Fig. ist ein Ausf lihrungsbeispiel der Erfindung darge- 
stellt, die im weiteren naher erlautert wird. 



Es zeigen 

Fig. 1 ein Ablauf diagramm, in dem das erf indungsgemaSe 
Verfahren mit Realisierungsdetails fur einen 
Get-Request dargestellt ist; 

Fig. 2 ein Ablauf diagramm, in dem das Verfahren in seinen 
Verf ahrensschritten mit Realisierungsdetails fur 
einen Set-Request dargestellt ist; 

Fig. 3 ein Ablauf diagramm, in dem das Verfahren- in 
abstrakter Form dargestellt ist; 

Fig, 4 eine Skizze eines moglichen Aufbaus einer krypto- 
graphisch bearbeiteten SNMPvl -Nachricht , in der der 
Sicherheitsmechanismus der Authentif ikation der 
Originaldaten realisiert wird; 

Fig. 5 der Aufbau einer moglichen kryptographisch bearbei- 
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teten SNMPvl-Nachricht , mit der die Sicherheits- 
dienste Integritat und Vertraulichkeit der ubertra- 
genen SNMPvl-Nachricht realisiert wird; 
Fig. 6 der mogliche Aufbau einer kryptographisch bearbei- 
teten SNMPvl-Nachricht, in der der Sicherheits- 
dienst der Vertraulichkeit der SNMPvl-Nachricht 
realisiert wird; 

5 . Figurenbeschreibung 

Get -Request 

In Fig, 1 sind eine erste Computereinheit CI und eine zweite 
Computereinheit C2 symbolhaft dargestellt. Die erste Compu- 
tereinheit CI weist eine Managerapplikation MA des SNMPvl so- 
wie einen ersten Proxy-Agenten PAl auf . 

Die zweite Computereinheit C2 weist einen SNMPvl -Agenten AG 
sowie einen zweiten Proxy-Agenten PA2 auf Seiten der zweiten 
Computereinheit C2 auf. 

In einem ersten Schritt 101 wird in der ersten Computerein- 
heit CI ein Get -Request gebildet. Unter der Bildung eines 
Get-Requests ist zu verstehen, daS eine digitale Nachricht 
unter Verwendung eines Codierungsf ormats des SNMPvl - 
Netzwerkprotokolls zu einer codierten Nachricht, dem Get- 
Request, codiert wird. Dies erfolgt in einem ersten Mittel 
101 der ersten Computereinheit CI zur Codierung der digitalen 
Nachricht unter Verwendung des Codierungsf ormats des Netz- 
werkprotokolls . 

In einem zweiten Schritt 102 wird der Get-Request, d.h. die 
codierte Nachricht CN von dem ersten Mittel Ml zu dem ersten 
Proxy-Agenten PAl auf der Seite der ersten Computereinheit CI 
gesendet . 
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In dem ersten Proxy-Agenten PAl wird in einem dritten Schritt 
103 die codierte Nachricht CN empfangen. 

In einem vierten Schritt 104 wird die codierte Nachricht CN 
in dem ersten Proxy-Agenten PAl mindestens einem, kryptogra- 
phischen Verfahren unterzogen. 2ur kryptographischen Bearbei- 
tung der codierten Nachricht in dem vierten Schritt 104 wird 
ein zweites Mittel 104 eingesetzt . 

Unter einem kryptographischen Verfahren ist jedes beliebige 
kryptographische Verfahren z.B. zur Authentif ikation, zur Si- 
cherung der Datenintegritat oder auch zur Verschlusselung von 
digitalen Daten zu verstehen. Hierbei konnen beispielsweise 
das RSA-Verf ahren oder auch der Data-Encryption-Standard, der 
als DES-Verf ahren bezeichnet wird, Verwendung finden. 

Als Ergebnis erhalt man eine kryptographisch bearbeitete 
Nachricht KBN, deren Format beispielsweise in den Fig. 3 bis 
6 dargestellt ist und im weiteren naher erlautert wird. 

In einem funften Schritt 105 wird die kryptographisch bear- 
beitete Nachricht KBN wiederum unter Verwendung des Codie- 
rungsformats des SNMP-Netzwerkprotokolls codiert . Unter die- 
sem Verf ahrensschritt ist zu verstehen, daS der kryptogra- 
phisch bearbeitete Get-Request vorzugsweise in einem Set- 
Request codiert wird, d.h. eingekapselt wird. Ferner ist ein 
drittes Mittel 105 zur Codierung der kryptographisch bearbei- 
teten Nachricht unter Verwendung des Codierungsf ormats des 
Netzwerkprotokolls vorgesehen. 

Wie im weiteren deutlich wird, ist es vorteilhaft, jede Art 
von Nachricht, die von der ersten Computereinheit CI zu der 
zweiten Computereinheit C2 ubertragen werden soil, in dem 
funften Schritt 105 als Set-Request zu codieren. Dies ist 
vorteilhaft, da die Syntax von SNMPvl fiir einen Get -Request 
lediglich Obj ect- Indent if iers als zu libertragende Nutzdaten 
erlaubt. Es ist bei SNMPvl nicht moglich, die kryptographisch 
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bearbeitete Information in einem SNMP-Get -Request einzubin- 
den. 

In einem sechsten Schritt 106 wird der Set-Request als co- 
dierte kryptographisch bearbeitete Nachricht CKN von der er- 
sten Computereinheit CI zu der zweiten Computereinheit C2, 
d.h. von dem ersten Proxy-Agenten PAl zu einem zweiten Proxy- 
Agenten PA2 libertragen. 

Von dem zweiten Proxy-Agenten PA2 der zweiten Computereinheit 
C2 wird die codierte kryptographisch bearbeitete Nachricht 
CKN in einem siebten Schritt 107 empfangen. Hierzu ist ein 
fiinftes Mittel 107 zum Empfangen der codierten kryptogra- 
phisch bearbeiteten Nachricht CKN vorgesehen. 

In einem achten Schritt 108 wird von dem zweiten Proxy- 
Agenten PA2 standardkonf orm eine Get -Response als Antwort auf 
den Set -Request an den ersten Proxy-Agenten PAl der ersten 
Computereinheit CI gesendet. Der Get-Response enthalt als Be- 
statigung den jeweiligen Fehlerzustand . 

In einem neunten Schritt 109 wird die empfangene codierte 
kryptographisch bearbeitete Nachricht CKN unter Verwendung 
des Codierungsformats des Netzwerkprotokolls entkapselt, d.h. 
decodiert. Es ist ein sechstes Mittel 109 zur Decodierung der 
empfangenen Nachricht entsprechend dem Codierungsf ormat des 
SNMPvl-Protokolls vorgesehen. 

In einem zehnten Schritt 110 wird von dem zweiten Proxy- 
Agenten PA2 das zu dem jeweils vorgesehenen kryptographischen 
Verfahren inverse kryptographische Verfahren beispielsweise 
zur Authentif ikation, zur Entschlusselung bzw. zur Sicherung 
der Integritat der libertragenen Daten auf die decodierte 
kryptographisch bearbeitete Nachricht DKN angewendet . Hierzu 
ist ein siebtes Mittel 110 zur inversen kryptographischen' Be- 
arbeitung der decodierten kryptographisch bearbeiteten Nach- 
richt DKN vorgesehen. 
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Weiterhin wird die invers kryptographisch bearbeitete Nach- 
richt IKN, d.h. der originale Get -Request, von dem zweiten 
Proxy-Agenten PA2 zu der Agentenapplikation AG der zweiten 
Computereinheit C2 gesendet . 

In einem elften Schritt 111 wird der Get-Request von dem 
Agenten AG empfangen. Hierzu ist ein achtes Mitt.el 111 Emp- 
f anae^ des Get -Requests vorgesehen. 

In einem weiteren Schritt 112 wird die invers kryptographisch 
bearbeitete Nachricht entsprechend dem Codierungs format des 
SNMPvl-Protokolls zu der digitalen Nachricht decodiert, d.h. 
ausgewertet. Dies bedeutet, da£ fur den Spezialfall des Get- 
Requests die iiber den Get -Request angeforderte Information 
eines Werts eines sog. Managed Objects (MO), der in der MIB 
des Agenten AG gespeichert ist, ausgelesen wird. Die Angabe, 
welche Information tatsachlich angefordert wird, ist als Ob- 
ject-Identifier in dem ursprunglichen Get-Request enthalten. 

Es wird also in dem zwolften Schritt 112 die angeforderte Ak- 
tion ausgefiihrt, in diesem Fall das Auslesen der angef order- 
ten Information, einen Wert eines Managed Objects. Hierzu ist 
ein neuntes Mittel 112 zur Durchfuhrung der angef orderten Ak- 
tion vorgesehen. 

Wie es in SNMPvl vorgesehen ist, wird von dem Agenten AG in 
der zweiten Computereinheit als Antwort auf einen Get -Request 
ein Get-Response gebildet und in einem dreizehnten Schritt 
113 zu dem zweiten Proxy-Agenten PA2 gesendet. Der Get- 
Response erhalt das Ergebnis der Aktion, die von der ersten 
Computereinheit CI in dem Get-Request angefordert wurde . 

Der Get -Response wird im weiteren als Antwortnachricht AN be- 
zeichnet. Die Antwortnachricht AN kann entweder direkt zu der 
ersten Computereinheit CI libertragen werden oder, zur weite- 
ren Erhohung der kryptographischen Sicherheit, entsprechend 
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dem Codierungs format des Netzwerkprotokolls noch einmal co- 
diert werden. Es ist in der zweiten Compute re inhe it C2 ein 
zehntes Mittel 112- zum Senden des Ergebnisses der Aktion zu 
der ersten Computereinheit CI vorgesehen. 

Weiterhin ist ein elftes Mittel 113 zur Bildung der Antwort- 
nachricht AN vorgesehen, die das Ergebnis der Aktion enthalt 
und zur Codierung der Antwortnachricht AN entsprjechend dem 
Codierungs format des SNMPvl-Protokolls . 

In einem vierzehnten Verf ahrensschritt 114 wird von dem zwei- 
ten Proxy-Agenten PA2 die Antwortnachricht AN empfangen. 
Hierzu ist ein zwolftes Mittel 114 zum Empfangen der Antwort- 
nachricht AN vorgesehen. 

In einem fiinfzehnten Schritt 115 wird die codierte Antwort- 
nachricht AN mindestens einem kryptographischen Verfahren un- 
terzogen. Hierfiir ist ein dreizehntes Mittel 115 zur Bearbei- 
tung der Antwortnachricht AN mit mindestens einem kryptogra- 
phischen Verfahren vorgesehen. Das Ergebnis dieses Verf ah- 
rensschritt s ist eine in einem Sicherheitsrahmen eingekapsel- 
te Get-Response . 

Die kryptographisch bearbeitete Antwortnachricht KBAN wird in 
einer Sicherheits-MIB in dem zweiten Proxy-Agenten PA2 ge- 
speichert (Schritt 116) . Der Aufbau der Sicherheits-MIB wird 
im weiteren detailiert beschrieben. 

Urn die kryptographisch bearbeitete Antwortnachricht KBAN zu 
erlangen, wird von dem ersten Proxy-Agenten PAl der ersten 
Computereinheit CI ein Get -Request, d.h. eine Abruf nachricht 
ABN gebildet, Hierfur ist ein vierzehntes Mittel 117 zur Bil- 
dung und Codierung der Abruf nachricht ABN entsprechend dem 
Codierungs format des SNMPvl-Protokolls vorgesehen, mit der 
die kryptographisch bearbeitete Antwortnachricht KBAN von der 
zweiten Computereinheit C2 angefordert wird. Ferner wird die 
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codierte Abruf nachricht ABN von der ersten Computereinheit CI 
zu der zweiten Computereinheit C2 gesendet . 

In einem achtzehnten Schritt 118 wird in dam zweiten Proxy- 
Agenten PA2 die Abruf nachricht ABN, d.h. in diesem Fall der 
Get -Request, empfangen und standardkonf orm der iibliche Get- 
Response, der in diesem Fall die kryptographisch bearbeitete 
Antwortnachricht KBAN enthalt, an den ersten Proxy-Agenten 
PAl gesendet . Hierzu ist in der zweiten Computereinheit C2 
ein funfzehntes Mittel 118 zum Empfangen der Abruf nachricht 
ABN und zur Codierung der in der Abruf nachricht ABN angefor- 
derten kryptographisch bearbeiteten Antwortnachricht KBAN 
entsprechend dem Codierungs format des SNMPvl-Protokolls , d.h. 
zur Codierung des angef orderten Get -Response vorgesehen. 

Die codierte kryptographisch bearbeitete Antwortnachricht 
wird von dem zweiten Proxy-Agenten PA2 zu dem ersten Proxy- 
Agenten PAl libertragen. 

In einem weiteren Schritt 119 wird in dem ersten Proxy- 
Agenten PAl die codierte kryptographisch bearbeitete Antwort- 
nachricht, enthalten in der standardkonf ormen Get -Response, 
empfangen. Hierfiir ist ein sechzehntes Mittel 119 zum Empfan- 
gen der Get -Response in der ersten Computereinheit CI vorge- 
sehen . 

In einem weiteren Schritt 120 wird der Get-Request decodiert, 
d.h. entkapselt und der urspriinglich von dem Agenten AG der 
zweiten Computereinheit C2 gebildete Get -Response zu der Ma- 
nagerapplikation MA der ersten Computereinheit CI gesendet. 
Hierfiir ist ein siebzehntes Mittel 120 vorgesehen zum Deco- 
dieren der Get -Response und zum Senden der urspriinglichen, in 
der Get -Response enthaltenen Get -Response , die die angef or- 
derte Information enthalt, zu der Managerapplikat ion MA. 

In einem letzten Schritt 121 wird die Get-Response von der 
Managerapplikation MA empfangen und der angeforderte Wert 
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ausgewertet und abgespeichert . Hierfur ist ein achtzehntes 
Mittel 121 2um Empfangen und Auswerten von Management informa- 
tion in der Managerapplikation MA vorgesehen. 

Auf diese Weise wird erreicht, dalS ohne groiSen Mehraufwand 
und ohne das Verfahren des SNMPvl-Protokolls andert zu mus- 
sen, eine kryptographische Sicherung der Kommunikation mog- 
lich wird. 

Get -Next -Request 

Fiir einen Get -Next -Request , der ebenfalls im Rahmen des 
SNMPvl-Protokolls vorgsehen ist, wird das Verfahren auf die 
gleiche Weise, wie fur den Get -Request beschrieben, durchge- 
fiihrt, lediglich mit einem veranderten, entsprechend angepaS- 
ten Object- Identifier fiir den angef orderten Wert des jeweili- 
gen Managed Objects. 

Set-Request 

In Fig. 2 ist das Verfahren fiir einen Set -Request als codier- 
te digitale Nachricht CN dargestellt. Zur einfacheren Erlau- 
terung wird lediglich das Verfahren im weiteren beschrieben, 
die Mittel sind entsprechend ausgestaltet , dalS die einzelnen 
Verf ahrensschritte mit den Computereinheiten CI, C2 durchge- 
fiihrt werden konnen. 

In einem ersten Schritt 201 wird der Set-Request, d.h. die 
digitale Nachricht codiert. 

In einem zweiten Schritt 202 wird von dem Manager MA der er- 
sten Compute re inhe it der Set -Request, d.h. die codierte Nach- 
richt CN zu dem ersten Proxy-Agenten PAl gesendet . 

In einem dritten Schritt 203 wird die codierte Nachricht CN 
von dem ersten Proxy-Agenten PAl empfangen. 
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In einem vierten Schritt 204 wird ein kryptographisches Ver- 
f ahren auf die codierte Nachricht CN angewendet . Das Ergebnis 
der kryptographischen Bearbeitung ist eine kryptographisch 
bearbeitete Nachricht KBN. 

In einem fiinften Schritt 205 wird die kryptographisch bear- 
beitete Nachricht KBN wiederum unter Verwendung des Codie- 
rungsformats des SNMPvl-Protokolls codiert zu einer codierten 
kryptographisch bearbeiteten Nachricht CKN. Hierfiir wird wie- 
derum ein Set-Request verwendet. 

Der Set -Request wird von dem erst en Proxy-Agent en PAl zu dem 
zweiten Proxy-Agenten PA2 gesendet (Schritt 206) . 

In einem siebten Schritt 207 wird von dem zweiten Proxy- 
Agenten PA2 der Set -Request empfangen. 

Als Reaktion auf den Empfang des Set -Requests sendet stan- 
dardkonform der zweite Proxy- Agent PA2 eine Get -Response , die 
als Bestat.igung den Fehlerzustand enthalt (Schritt 2 08) . 

In einem weiteren Schritt 209 wird die codierte kryptogra- 
phisch bearbeitete Nachricht decodiert, d.h. "ausgepackt " . 
Das Ergebnis ist die decodierte kryptographisch bearbeitete 
Nachricht DKN. 

In einem zehnten Schritt 210 wird jeweils das zu dem verwen- 
deten kryptographischen Verfahren inverse kryptographische 
Verfahren auf die kryptographisch bearbeitete Nachricht DKN 
angewendet. Ferner wird die invers kryptographisch bearbeite- 
te Nachricht IKN, d.h. der urspriingliche Set -Request von dem 
zweiten Proxy-Agenten PA2 zu dem Agenten AG der zweiten Com- 
putereinheit C2 gesendet. 

In einem elften Schritt 211 wird von dem Agenten AG die deco- 
dierte kryptographisch bearbeitete Nachricht empfangen und in 
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einem weiteren Schritt 212 die in dem Set-Request angegebene 
Aktion durchgef lihrt . 

Als Reaktion sendet der Agent AG der zweiten Compute re inhe it 
C2 standardkonf orm die Antwortnachricht AN in Form eines Get- 
Response zu dem zweiten Proxy- Agenten PA2 (Schritt 213) . 

In einem vierzehnten Schritt 214 empfangt der zweite Proxy- 
Agent PA2 die Antwortnachricht AN. 

In einem fiinfzehnten Schritt 215 wird wiederum auf die Ant- 
wortnachricht AN mindestens ein vorgebbares kryptographisches 
Verf ahren angewendet . 

Die weiteren Verf ahrensschritte 216, 217, 218, 219, 220 sowie 
221 entsprechen den in Zusammenhang mit einem Get-Request be- 
schriebenen Verf ahren, den Verf ahrensschritten 116, 117, 118, 
119, 120 sowie 121. 

Die Sicherheits-MIB enthalt Eintrage, die in ihrer Struktur 
die ubliche Syntax zur Beschreibung von Mananged-Obj ects ver- 
wendet. Eintragen in der Sicherheits-MIB werden eindeutige 
Object- Identifiers zugeordnet, die zur eindeutigen Identifi- 
zierung der Eintrage in der Sicherheits-MIB verwendet werden. 
Die Object -Identifiers werden in der globalen SNMP-MIB regi- 
striert. Damit wird erreicht, daS der Zweck und die Syntax 
des jeweiligen Managed-Objects bekannt ist. Die verschiedenen 
Eintrage der Sicherheits-MIB konnen beispielsweise entweder 
digital unterzeichnete , integritatsgeschiitzte , oder ver- 
schliisselte Managementinf ormation enthalten. Selbstverstand- 
lich konnen beliebige Kombinationen der oben beschriebenen 
Mechanismen in der Sicherheits-MIB eingetragen sein und somit 
im Rahmen des Verfahrens beriicksichtigt werden. 

Im weiteren wird eine mogliche Beispiel-Syntax in ASN.l 
(Abstract Syntax Notation One) einer solchen Sicherheits-MIB 
dargestellt . 
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Die Syntax eines sicheren, eingekapselten Managed-Objects 
OCTET STRING. Der Aufbau eines solchen eingekapselten Mana 
ged-Objects ist wie f olgt : 
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SecureMO : : = 

SEQUENCE { 

PlainHeader , 
EncapsulatedData 

} 

PlainHeader : : = 
SEQUENCE { 

SecurityAssociationID, 
UsedAlgorithms , 
AlgorithmParameters 

} 

EncapsulatedData OCTET STRING 

signed, encrypted, or integrity protected 
-- ASN. 1- encoded data 

SecurityAssociationID ::= OBJECT IDENTIFIER 

UsedAlgorithms ::= INTEGER (0..7) 

-- value 0 stands for „no security" 
-- value 1 stands for „ signed" 
-- value 2 stands for „ integrity protected" 
-- value 3 stands for „ signed" and „ integrity protected" 
-- value 4 stands for „ encrypted" 
-- value 5 stands for „ signed" and „ encrypted" 
value 6 stands for „ integrity protected" and 
„ encrypted" 

-- value 7 stands for „ signed", „ integrity protected" 
and „ encrypted" 



AlgorithmParameters : := 

necessary parameters for the particular 
-- algorithms in use 
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Der Wert des Parameters UsedAlgorithms wird nach dem folgen- 
den Schema gebildet. Er kann als Bit-String der Lange 3 Bit 
reprasentiert werden, wobei das Bit niedrigster Wertigkeit 
die Verwendung digitaler Signatur („ signed") anzeigt, das Bit 
mit zweitniedrigster Wertigkeit beispielsweise anzeigt, ob 
Mechanismen zur Sicherung der Datenintegritat vorgesehen sind 
(^integrity protected"), und das Bit mit der hochsten Wertig- 
keit beschreibt, ob die Daten verschliisselt warden 
(„ encrypted") . 

Somit kann das Ergebnis jeder kryptographischen Bearbeitung 
einer Nachricht als ein Bit-String mit der Lange 3 beschrie- 
ben werden. Die kryptographisch bearbeitete Nachricht wird 
als OCTET STRING codiert . Besteht sie aus einer nicht durch 8 
teilbaren Anzahl von Bits, so kann sie jedoch durch Anwendung 
eines sog. Paddings, d.h. durch Auffiillen von Bits ohne se- 
mantische Bedeutung, zu einem OCTET STRING erweitert werden. 

Diese Situation ist beispielhaft in einem Ablauf diagramm in 
Fig. 3 dargestellt. 

Ein SNMPvl -Request SR wird gemag den Vorschriften zur Codie- 
rung des jeweiligen Netzprotokolls in ASN.l 

(Codierungsregeln, Syntaxdef inition, ER) codiert 301. Der co- 
dierte SNMP-Request CSR, d.h. die codierte Nachricht CN wird 
in einem zweiten Schritt 302 dem jeweiligen kryptographischen 
Verfahren unterzogen. Hierbei werden beispielsweise krypto- 
graphische Schliissel, Parameter zur Angabe des verwendeten 
Algorithmus, sowie zusatzliche Information, allgemein krypto- 
graphische Information VI, zur Durchfuhrung des jeweiligen 
kryptographischen Verfahrens verwendet . 

Der sich ergebende Bit -String BS wird beispielsweise durch 
Auffullen von Fullbits in einem Schritt 3 03 zu einem OCTET 
STRING OS konvertiert, z.B. unter Verwendung von Padding PA. 
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Die abstrakte Vorgehensweise zur inversen kryptographischen 
Bearbeitung wird entsprechend umgekehrt durchgef iihrt . 

Es ist vorteilhaft, existierende Funktionen zur Sicherung der 
Kommunikation im Rahmen von SNMPvl dort anzuwenden, wo es 
moglich ist und diese Sicherheitsf unktionen mit weiteren 
kryptographischen Verfahren zu verstarken, wo es notig ist. 

So ist es vorteilhaft, das Konzept von Community- Strings in 
SNMPvl auch im Rahmen dieses Verfahrens zu verwenden. Im Rah- 
men des Konzepts einer Community werden Gruppen def iniert und 
den einzelnen Gruppen Zugrif f srechte fiir die jeweiligen Mit- 
glieder der Gruppe zugeordnet . Eine Community und die der 
Community zugeordneten Zugrif f srechte sind Teil einer Konfi- 
guration eines SNMPvl -Agenten . Es ist vorteilhaft, jeweils 
Communities mit spezifischen Sicherheitsmechanismen zu asso- 
ziieren. So ist es beispielsweise moglich, einer Community 
unterschiedliche kryptographische Algrorithmen, kryptographi- 
sche Schliissel und entsprechende Parameter, die im Rahmen des 
kryptographischen Verfahren jeweils verwendet werden, Mit- 
gliedern der Community zuzuordnen. 

Standardkonf orme Object -Identifier werden vorzugsweise als 
Angaben verwendet, welche in kryptographischen Verfahren ver- 
wendet werden sollen. 

Bei der Sicherheitskonf iguration wird vorzugsweise anstelle 
von kryptographischen Schlusseln Object -Identifier auf ge- 
speicherte kryptographische Schliissel verwendet, die im wei- 
teren als Schliissel-Identif ier bezeichnet werden. Durch diese 
Vorgehensweise wird das jeweilige Schlusselmaterial besser 
gesichert . 

Weiterhin kann das jeweilige Schlusselmaterial dadurch star- 
ker geschutzt werden, dafi beispielsweise die Dateien, in de- 
nen die kryptographischen Schliissel gehalten werden, ver- 
schlusselt werden oder spezielle Hardwareeinheiten zum Schutz 
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der kryptographischen Schliissel vorgesehen sind, beispiels- 
weise Chipkarten. 

Die jeweils zu verwendenden Realisierungsdetails ergeben sich 
aus der Sicherheitspolitik, die entsprechend der Anwendung 
stark variieren kann. 

Authentifikation des Datenurspriings 

Um den Sicherheitsdienst der Authentifikation der Ursprungs- 
daten zu erreichen kann beispielsweise folgende Information 
in der kryptographisch bearbeiteten Nachricht vorgesehen sein 
(vgl . Fig. 4 ) . 

Der SNMPvl -Request , d.h. die codierte Nachricht CN, wird 
durch die kryptographische Bearbeitung mit folgenden Header- 
bzw. Trailer- Informationen umkapselt, wodurch die kryptogra- 
phisch bearbeitete Nachricht KBN entsteht. 

Ein Authentif ikations-Header AH enthalt einen Schlussel- 
Identifier KID, mit dem der jeweils zu verwendende kryptogra- 
phische Schliissel angegeben ist liber einen Object-Identifier, 
einen Algorithm- Identifier AID, mit dem der jeweils zu ver- 
wendende kryptographische Algorithmus zur Authentifikation 
angegeben ist, Algorithmus -Parameter AP, mit denen angegeben 
wird, welche Parameter im Rahmen der Authentifikation verwen- 
det werden, ein Zeitstempel TS sowie eine Zufallszahl RN. 

Ferner ist als Trailerinf ormation TI eine digitale Signatur 
DS vorgesehen. Als Algorithmus zur Authentifikation kann bei- 
spielsweise das asymmetrische RSA-Verf ahren eingesetzt wer- 
den . 

Zugrif f skontrolle fur Managementinf ormation 

Die SNMPvl-Zugriff skontrolle basiert auf zwei Mechanismen. 
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Erstens wird jedem Managed-Object in einer MIB ein Zugriffs- 
kontrollwert zugeordnet, der einen der drei folgenden Werte 
auf weist : 

Read-Only, 

Read-Write, 

Write-Only, 

Not -Accessable . 

Zweitens wird jeder Community in dem SNMPvl- 

Agentenkonf iguration ein sog. MIB-View zusammen mit den je- 
weiligen Zugrif f srechten zugeordnet. Ein MIB-View enthalt ei- 
ne vorgebbare Anzahl von Object-Identif iern, die die jeweili- 
gen Unterbaume oder sog. Blatter des SNMP-Registratur-Baums 
bezeichnet . 

Die jeweiligen Zugrif fsrechte weisen einen der folgenden Wer- 
te auf : 

Read Only, 

Write-Only, 

Read-Write, 

None . 

Sicherxing der Datenintegritat eines SNMP-Requests 

Zur Sicherung der Datenintegritat wird ein Mechanismus zur 
kryptographischen Sicherung der Datenintegritat eingesetzt. 
Hierfiir werden Datenintegritatspriif summen uber den gesamten 
SNMPvl -Request oder einen Teil davon gebildet. Dies kann bei- 
spielsweise mittels des DES im sog. Cipher-Block-Chaining- 
Mode (CBC-Modus) erfolgen. Fur diesen speziellen Mechanismus 
ist die Verwendung eines 64 Bit langen Inititalisierungswerts 
erforderlich, der jeder Partei der jeweiligen Sicherheits- 
gruppe bekannt sein muS. Der Intitialisierungswert ist Teil 
der Algorithmusparameter AP, die in der Header- Information HI 
der kryptographisch bearbeiteten Nachricht KBN verwendet wird 
(vgl. Fig. 5). Ferner weist die Header- Information HI einen 
Schliissel- Identifier KID sowie einen Algorithmus- Identifier 
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AID auf, deren Funktionalitat gleich ist wie bei der Authen- 
tif ikation. 

Ferner ist in einer Trailer- Information TI ein Integri- 
tatspriifwert ICV vorgesehen. 

Verschliisselung von SNMPvl -Requests 

Vertraulichkeit der ubertragenen SNMPvl -Daten kann auf ahnli 
che Weise erfolgen, wie die Sicherung der Datenintegritat . 
Zur Verschliisselung kann beispielsweise wiederum das DES- 
Verfahren im CBC-Modus verwendet werden. In diesem Fall ist 
wiederum ein Initialisierungswert als Algorithmusparameter A] 
und einer Header- Information HI der kryptographisch bearbei- 
teten Nachricht KBN erforderlich (vgl . Fig. 6). 

Wiederum ist in der Header- Information HI ein Schliissel- 
Identifier KID sowie ein Algorithmus - Identifier AID mit oben 
beschriebener Funktionalitat vorgesehen. 

Weiterhin konnen Mechanismen zur Protokollierung der Kommuni 
kation sowie zur Alarmgebung bei Auffinden von Angrif f sversu 
chen vorgesehen sein. 

Das Verfahren und das Computersystem konnen sehr vorteilhaft 
im Rahmen eines Szenarios verwendet werden, bei dem ein An- 
bieter eines Kommunikationsnetzes Bandbreite des Kommunikati 
onsnetzes einem Dienstanbieter zur Verfiigung stellt, der 
Dritten zusatzliche Dienste zur Verfiigung stellt, die das 
Kommunikationsnetz als solche nicht vorsieht. In diesem Zu- 
sammenhang kann das Verfahren sowie das Computersystem vor- 
teilhaft beispielsweise zur Kontrolle oder auch zur Abrech- 
nung der von dem Anbieter des gesamten Kommunikationsnetzes 
zur Verfiigung gestellten Resourcen dienen. In diesem Fall 
wird der Manager auf einem Computer des Anbieters des gesam- 
ten Kommunikationsnetzes realisiert sein und ein Agent je- 
weils bei dem Anbieter zusatzlicher Dienste. 
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In einer Variante des oben beschriebenen Ausf lihrungsbeispiels 
ist es vorgesehen, die Antwortnachricht direkt, ohne Warten 
auf eine Abruf nachricht , zu codieren und an die erste Compu- 
tereinheit zu senden. Somit sind folgende Schritte in der 
zweiten Computereinheit nicht erf orderlich : 

- die Codierung einer Abruf nachricht entsprechend dem Codie- 
rungsformat des Netzwerkprotokolls in der ersten. Computerein- 
heit, mit der die kryptographisch bearbeitete Antwortnach- 
richt von der zweiten Computereinheit angefordert wird, 

- die Ubertragung der Abruf nachricht von der ersten Compu- 
tereinheit zu der zweiten Computereinheit, sowie 

- das Empf angen der Abruf nachricht . 

Entsprechendes gilt fur das Computersystem . 

Anschaulich kann das Verfahren derart beschrieben werden, dafi 
zu dem standardkonf ormen Netzwerkprotokoll z.B. dem SNMPvl- 
Protokoll auf den jeweiligen SNMP-Request oder auch CMIP- 
Request, ein kryptographisches Verfahren angewendet wird, mit 
dem eine kryptographische Sicherung des SNMP-Requests bzw. 
dem CMIP-Request erreicht wird. Um jedoch die Verwendung 
standardkonf ormer SNMP- Verfahren zu ermoglichen, wird die 
kryptographisch bearbeitete Nachricht wiederum mit dem jewei- 
ligen Codierungsf ormat des Netzwerkprotokolls codiert . Dies 
entspricht einer "doppelten" Anwendung des jeweiligen Netz- 
werkprotokolls auf die zu codierende Nachricht. 
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Patent anspruche 

1. Verfahren zur Codierung einer digitalen Nachricht unter 
Verwendung eines Codierungsf ormats eines Netzwerkprotokolls , 

- bei dem die Nachricht unter Verwendung des Codierungsf or- 
mats des Netzwerkprotokolls zu einer codierten Nachricht co- 
diert wird, 

- bei dem die codierte Nachricht mindestens einem kryptogra- 
phischen Verfahren unterzogen wird, und 

- bei dem die kryptographisch bearbeitete Nachricht unter 
Verwendung des Codierungsf ormats des Netzwerkprotokolls co- 
diert wird. 

2. Verfahren zur Decodierung einer digitalen Nachricht, wel- 
ches in einem Codierungsf ormat eines Netzwerkprotokolls vor- 
liegt, 

- bei dem die Nachricht entsprechend dem Codierungsf ormat des 
Netzwerkprotokolls decodiert wird, 

- bei dem die decodierte kryptographisch bearbeitete Nach- 
richt einem zu dem mindestens einen kryptographischen Verfah- 
ren inversen kryptographischen Verfahren unterzogen wird, und 

- bei dem die invers kryptographisch bearbeitete Nachricht 
entsprechend dem Codierungsf ormat des Netzwerkprotokolls de- 
codiert wird. 

3. Verfahren zur Codierung einer digitalen Nachricht, zur 
Ubertragung der Nachricht von einer ersten Computereinheit zu 
einer zweiten Computereinheit und zur Decodierung der Nach- 
richt, 

- bei dem in der ersten Computereinheit folgende Schritte 
durchgefiihrt werden: 

die Nachricht wird unter Verwendung eines Codierungsf or- 
mats eines Netzwerkprotokolls zu einer codierten Nachricht 
codiert , 

-- die codierte Nachricht wird mindestens einem kryptographi- 
schen Verfahren wird. 
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-- die kryptographisch bearbeitete Nachricht wird unter Ver- 
wendung des Codierungsf ormats des Netzwerkprotokolls codiert , 

- bei dem die codierte kryptographisch bearbeitete Nachricht 
von der ersten Computereinheit zu der zweiten Computereinheit 
ubertragen wird, 

- bei dem in der zweiten Computereinheit folgende Schritte 
durchgef iihrt werden : 

-- die empfangene Nachricht wird entsprechend de.m Codierungs- 
format des Netzwerkprotokolls decodiert, 

- die decodierte kryptographisch bearbeitete Nachricht wird 
einem zu dem mindestens einen kryptographischen Verfahren in- 
versen kryptographischen Verfahren unter zogen, und 

- die invers kryptographisch bearbeitete Nachricht wird ent- 
sprechend dem Codierungs format des Netzwerkprotokolls zu der 
digitalen Nachricht decodiert . 

4. Verfahren nach Anspruch 3, 

- bei dem die digitale Nachricht eine Anfrage zur Ausfiihrung 
einer vorgebbaren Aktion enthalt, 

- bei dem in der zweiten Computereinheit die angeforderte Ak- 
tion ausgef iihrt wird, und 

- bei dem in der zweiten Computereinheit das Ergebnis der Ak- 
tion in einer Antwortnachricht zu der ersten Computereinheit 
gesendet wird. 

5. Verfahren nach Anspruch 3, 

- bei dem die digitale Nachricht eine Anfrage zur Ausfuhrung 
einer vorgebbaren Aktion enthalt, 

- bei dem in der zweiten Computereinheit die angeforderte Ak- 
tion ausgefuhrt wird, 

- bei dem in der zweiten Computereinheit eine Antwortnach- 
richt gebildet wird, die ein Ergebnis der Aktion enthalt, 

- bei dem in der zweiten Computereinheit die Antwortnachricht 
entsprechend dem Codierungsf ormat des Netzwerkprotokolls co- 
diert wird, 

- bei dem in der zweiten Computereinheit die Antwortnachricht 
mindestens einem kryptographischen Verfahren unterzogen wird. 
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- bei dem in der zweiten Computereinheit die kryptographisch 
bearbeitete Antwortnachricht gespeichert wird, 

- bei dem in der ersten Computereinheit eine Abruf nachricht 
entsprechend dem Codierungsf ormat des Netzwerkprotokolls co- 
diert wird, mit der die kryptographisch bearbeitete Antwort- 
nachricht von der zweiten Computereinheit angefordert wird, 

- bei dem die Abruf nachricht von der ersten Computereinheit 
zu der zweiten Computereinheit libertragen wird, 

- bei dem die Abruf nachricht von der zweiten Computereinheit 
empfangen wird, 

- bei dem die kryptographisch bearbeitete Antwortnachricht 
entsprechend dem Codierungsf ormat des Netzwerkprotokolls co- 
diert wird, und 

- bei dem die codierte kryptographisch bearbeitete Antwort- 
nachricht von der zweiten Computereinheit zu der ersten Com- 
putereinheit libertragen wird. 

6 . Verf ahren nach Anspruch 3 , 

- bei dem die digitale Nachricht eine Anfrage zur Ausfiihrung 
einer vorgebbaren Aktion enthalt, 

- bei dem in der zweiten Computereinheit die angeforderte Ak- 
tion ausgefiihrt wird, 

- bei dem in der zweiten Computereinheit eine Antwortnach- 
richt gebildet wird, die ein Ergebnis der Aktion enthalt, 

- bei dem in der zweiten Computereinheit die Antwortnachricht 
entsprechend dem Codierungsf ormat des Netzwerkprotokolls co- 
diert wird, 

- bei dem in der zweiten Computereinheit die Antwortnachricht 
mindestens einem kryptographischen Verfahren unterzogen wird, 

- bei dem die kryptographisch bearbeitete Antwortnachricht 
entsprechend dem Codierungsf ormat des Netzwerkprotokolls co- 
diert wird, und 

- bei dem die codierte kryptographisch bearbeitete Antwort- 
nachricht von der zweiten Computereinheit zu der ersten Com- 
putereinheit libertragen wird. 

7. Verfahren nach einem der Anspriiche 2 bis 6, 
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bei dem in der zweiten Compute re inhe it die kryptographisch 
bearbeitete Antwortnachricht in einer Management Information 
Base (MIB) gespeichert wird. 

8. Verfahren nach einem der Anspriiche 1 bis 4, 

bei dem als Netzwerkprotokoll das Simple Network Management 
Protocol Version 1 (SNMPvl) verwendet wird. 

9. Verfahren nach Anspruch 8, 

- bei dem in der ersten Computereinheit bei der Codierung der 
kryptographisch bearbeiteten Nachricht ein Set -Request gebil- 
det wird, und 

- bei dem der Set -Request von der ersten Computereinheit zu 
der zweiten Computereinheit libertragen wird. 

10. Verfahren nach Anspruch 8 oder 9, 

- bei dem als Abruf nachricht ein Get -Request verwendet wird, 

- bei dem bei der Codierung der angef orderten kryptographisch 
bearbeiteten Antwortnachricht ein Get-Response gebildet wird. 

11. Verfahren nach einem der Anspriiche 4 bis 10, 

bei dem als Aktion eine Inf ormationsabf rage und/oder eine In- 
f ormationsangabe der zweiten Computereinheit iibertragen wird. 

12. Vorrichtung mit mindestens einer Recheneinheit , die der- 
art eingerichtet ist, daiS das Verfahren nach einem der An- 
spriiche 1 bis 11 durchfiihrbar ist . 

13 . Vorrichtung zur Codierung einer digitalen Nachricht unter 
Verwendung eines Codierungs formats eines Netzwerkprotokolls , 
das mindestens f olgende Komponenten umf aSt : 

- ein erstes Mittel zur Codierung der digitalen Nachricht un- 
ter Verwendung des Codierungs formats des Netzwerkprotokolls 
zu einer codierten Nachricht, 

- ein zweites Mittel zur kryptographischen Bearbeitung der 
codierten Nachricht, 
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- ein drittes Mittel zur Codierung der kryptographisch bear- 
beiteten Nachricht unter Verwendung des Codierungsf ormats des 
Netzwerkprotokolls . 

14. Vorrichtung zur Decodierung einer digitalen Nachricht, 
welches in einem Codierungsf ormat eines Netzwerkprotokolls 
vorliegt, das mindestens folgende Komponenten umf aSt : 
-- ein fiinftes Mittel zum Empfangen der codierten kryptogra- 
phisch bearbeiteten Nachricht von der ersten Computereinheit , 
-- ein sechstes Mittel zur Decodierung der empfangenen Nach- 
richt entsprechend dem Codierungsf ormat des Netzwerkproto- 
kolls , 

-- ein siebtes Mittel zur inversen kryptographischen Bearbei- 
tung der decodierten kryptographisch bearbeiteten Nachricht, 
und 

-- ein achtes Mittel zur Decodierung der invers kryptogra- 
phisch bearbeiteten Nachricht entsprechend dem Codierungsf or- 
mat des Netzwerkprotokolls . 

15. Vorrichtung zur Codierung einer digitalen Nachricht, zur 
Ubertragung der Nachricht von einer ersten Computereinheit zu 
einer zweiten Computereinheit und zur Decodierung der Nach- 
richt , 

- bei dem eine erste Computereinheit vorgesehen ist, die min- 
destens folgende Komponenten umf aSt : 

-- ein erstes Mittel zur Codierung der digitalen Nachricht 
unter Verwendung eines Codierungsf ormats eines Netzwerkproto- 
kolls zu einer codierten Nachricht, 

-- ein zweites Mittel zur kryptographischen Bearbeitung der 
codierten Nachricht, 

-- ein drittes Mittel zur Codierung der kryptographisch bear- 
beiteten Nachricht unter Verwendung des Codierungsf ormats des 
Netzwerkprotokolls , 

-- ein viertes Mittel zum Senden der codierten kryptogra- 
phisch bearbeiteten Nachricht von der ersten Computereinheit 
zu der zweiten Computereinheit, 
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- bei dem eine zweite Computereinheit vorgesehen ist, die 
mindestens f olgende Komponenten umf aSt : 

-- ein fiinftes Mittel zum Empfangen der codierten kryptogra- 
phisch bearbeiteten Nachricht von der ersten Computereinheit, 

ein sechstes Mittel zur Decodierung der empfangenen Nach- 
richt entsprechend dem Codierungsf ormat des Netzwerkproto- 
kolls , 

ein siebtes Mittel zur inversen kryptographischen Bearbei- 
tung der decodierten kryptographisch bearbeiteten Nachricht, 
und 

-- ein achtes Mittel zur Decodierung der invers kryptogra- 
phisch bearbeiteten Nachricht entsprechend dem Codierungsf or- 
mat des Netzwerkprotokolls . 

16. Vorrichtung nach Anspruch 13 oder 15, 

bei dem als drittes Mittel das erste Mittel vorgesehen ist. 

17. Vorrichtung nach Anspruch 14 oder 15, 

bei dem als achtes Mittel das sechste Mittel vorgesehen ist. 

18. Vorrichtung nach einem der Anspriiche 15 bis 17, 

- bei dem die digitale Nachricht eine Anfrage zur Ausfiihrung 
einer vorgebbaren Aktion enthalt, 

- bei dem in der zweiten Computereinheit ein neuntes Mittel 
zur Durchfiihrung der angef orderten Aktion vorgesehen ist, und 

- bei dem in der zweiten Computereinheit ein zehntes Mittel 
zum Senden des Ergebnisses der Aktion zu der ersten Compu- 
tereinheit vorgesehen ist. 

19. Vorrichtung nach einem der Anspruche 15 bis 18, 

- bei dem die digitale Nachricht eine Anfrage zur Ausftihrung 
einer vorgebbaren Aktion enthalt, 

- bei dem in der zweiten Computereinheit ein neuntes Mittel 
zur Durchfuhrung der angef orderten Aktion vorgesehen ist, 

- bei dem in der zweiten Computereinheit ein elftes Mittel 
zur Bildung einer Antwortnachricht , die ein Ergebnis der Ak- 
tion enthalt, vorgesehen ist. 
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- bei dem in der zweiten Computereinheit ein zwolftes Mittel 
zur Codierung Antwortnachricht entsprechend dem Codierungs- 
format des Netzwerkprotokolls , 

- bei dem in der zweiten Computereinheit ein dreizehntes Mit- 
tel zur Bearbeitung der Antwortnachricht mit mindestens einem 
kryptographischen Verfahren vorgesehen ist, 

- bei dem in der zweiten Computereinheit ein vierzehntes Mit- 
tel zur Speicherung der kryptographisch bearbeiteten TVntwort- 
nachricht vorgesehen ist, 

- bei dem in der ersten Computereinheit ein fiinfzehntes Mit- 
tel zur Bildung und Codierung einer Abruf nachricht entspre- 
chend dem Codierungsf ormat des Netzwerkprotokolls, mit der 
die kryptographisch bearbeitete Antwortnachricht von der 
zweiten Computereinheit angefordert wird, vorgesehen ist, 

- bei dem in der ersten Computereinheit ein sechzehntes Mit- 
tel zum Senden der Abruf nachricht von der ersten Computerein- 
heit zu der zweiten Computereinheit, vorgesehen ist, 

- bei dem in der zweiten Computereinheit ein siebzehntes Mit- 
tel zum Empfangen der Abruf nachricht vorgesehen ist 

- bei dem in der zweiten Computereinheit ein achtzehntes Mit- 
tel zur Codierung der in der Abruf nachricht angef orderten 
kryptographisch bearbeiteten Antwortnachricht entsprechend 
dem Codierungsf ormat des Netzwerkprotokolls, vorgesehen ist, 
und 

- bei dem in der zweiten Computereinheit ein neunzehntes Mit- 
tel zum Senden der codierten kryptographisch bearbeiteten 
Antwortnachricht von der zweiten Computereinheit zu der er- 
sten Computereinheit, vorgesehen ist. 

20. Vorrichtung nach einem der Anspriiche 15 bis 18, 

- bei dem die digitale Nachricht eine Anfrage zur Ausfiihrung 
einer vorgebbaren Aktion enthalt, 

- bei dem in der zweiten Computereinheit ein neuntes Mittel 
zur Durchfiihrung der angef orderten Aktion vorgesehen ist, 

- bei dem in der zweiten Computereinheit ein elftes Mittel 
zur Bildung einer Antwortnachricht, die ein Ergebnis der Ak- 
tion enthalt, vorgesehen ist, 
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- bei dem in der zweiten Computereinheit ein zwolftes Mittel 
zur Codierung Antwortnachricht entsprechend dem Codierungs- 
format des Netzwerkprotokolls , 

- bei dem in der zweiten Computereinheit ein dreizehntes Mit- 
tel zur Bearbeitung der Antwortnachricht mit mindestens einem 
kryptographischen Verfahren vorgesehen ist, 

- bei dem in der zweiten Computereinheit ein achtzehntes Mit- 
tel zur Codierung der kryptographisch bearbeiteten Antwort- 
nachricht entsprechend dem Codierungs format des Netzwerkpro- 
tokolls, vorgesehen ist, und 

- bei dem in der zweiten Computereinheit ein neunzehntes Mit- 
tel zum Senden der codierten kryptographisch bearbeiteten 
Antwortnachricht von der zweiten Computereinheit zu der er- 
sten Computereinheit, vorgesehen ist. 

21. Vorrichtung nach Anspruch 19 oder 20, 

bei dem das vierzehnte Mittel derart ausgestaltet ist,dafi die 
kryptographisch bearbeitete Antwortnachricht in einer Manage- 
ment Information Base (MIB) gespeichert wird. 

22. Vorrichtung nach einem der Anspruche 13 bis 21, 

das derart ausgestaltet ist, dafi als Netzwerkprotokoll das 
Simple Network Management Protocol Version 1 (SNMPvl) verwen- 
det wird. 

23. Vorrichtung nach Anspruch 13 oder 15, 

- das derart ausgestaltet ist, daS als Netzwerkprotokoll das 
Simple Network Management Protocol Version 1 (SNMPvl) verwen- 
det wird , und 

- bei dem das dritte Mittel zur Codierung der kryptographisch 
bearbeiteten Nachricht derart ausgestaltet ist, daS bei der 
Codierung der kryptographisch bearbeiteten Nachricht ein Set- 
Request gebildet wird. 

24. Vorrichtung nach Anspruch 22, 
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- bei dem das fiinfzehnte Mittel zur Bildung und Codierung der 
Abrufnachricht derart ausgestaltet ist, daS ein Get -Request 
gebildet wird, 

- bei dem das achtzehnte Mittel zur Codierung der in der Ab- 
rufnachricht angef orderten kryptographisch bearbeiteten Ant- 
wortnachricht derart ausgestaltet ist, daS ein Get-Response 
gebildet wird, 

25. Vorrichtung nach einem der Anspriiche 15 bis 24, 

bei dem als Aktion eine Inf ormationsabf rage und/oder eine In- 
f ormationsangabe der zweiten Computereinheit vorgesehen ist. 

26. Vorrichtung nach einem der Anspruche 12 bis 25, 

bei dem das zweite Mittel, das dritte Mittel und das vierte 
Mittel zusammen als ein erster Proxy Agent ausgestaltet sind, 
und/oder 

bei dem das fiinfte Mittel, das sechste Mittel und das siebte 
Mittel zusammen als ein zweiter Proxy Agent ausgestaltet 
sind- 

27. Kommunikationssystem mit einem Managers eines Kommunika- 
tionsnetzes und eines Zwischenmanagers eines Kommunikations- 
netzes, der das Kommunikationsnetz verwendet und weitere 
Dienste, die uber die von dem Kommunikationsnetz angebotenen 
Dienste hinausgehen, Kunden anbietet mit einem Computersystem 
nach einem der Anspruche 13 bis 26. 
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Zusammenf assung 

Verfahren und Computer system zur Codierung einer digitalen 
Nachricht, zur Ubertragung der Nachricht von einer ersten 
Computereinheit zu einer zweiten Computereinheit und zur De- 
codierung der Nachricht 

Es wird ein Verfahren vorgestellt, bei dem ftir ein Netzwerk 
protokoll, z.B. fur das SNMPvl, wird in der ersten Compu- 
tereinheit (CI) eine Nachricht unter Verwendung des Codie- 
rungsformats des Netzwerkprotokolls zu einer codierten Nach- 
richt (CN) codiert (101) . Die codierte Nachricht (CN) wird 
einem kryptographischen Verfahren unterzogen (104) . Die da- 
durch gebildete kryptographisch bearbeitete Nachricht (KBN) 
wird wiederum unter Verwendung des Codierungsf ormats des 
Netzwerkprotokolls codiert (105) . Die auf diese Weise codier 
te kryptographisch bearbeitete Nachricht (CKN) wird von der 
erste Computereinheit (CI) zu der zweiten Computereinheit 
(C2) ubertragen. In der zweiten Computereinheit (C2) wird di< 
empfangene Nachricht entsprechend dem Codierungsf ormat des 
Netzwerkprotokolls decodiert (109) und es wird ein inverses 
kryptographisches Verfahren (110) auf die decodierte Nach- 
richt (DKN) angewendet. Die invers kryptographisch bearbeite- 
te Nachricht (IKN) wird entsprechend dem Codierungsf ormat des 
Netzwerkprotokolls wiederum decodiert. 
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Kurz nach Ablauf von 18 Monaten seit dem Priori tatsdatum wird die internationale Anmeldung vom internationaien Buro veroffenU 
licht. WUMer Anmelder die Verotfentlichung verhindern Oder auf einen spateren Zeitpunkt verschieben. so muB gemaB Regel 90 f 
bzw. 90^ .3 vor AbschluB der technischen VorbereiLngen fur die Internationale Veroffentlichung eine Erklarung uber die Zurucknah- 
me der internationaien Anmeldung Oder desPrioritatsanspruchs beim Internationaien Buro eingehen. 

Innerhalb von 19 Monaten seit dem Prioritatsdatum ist ein Antrag auf internationale vorlaufige Priifung einzureichen, wenn der 
Anmelder den Eintritt in die nationale Phase bis zu 30 f^onaten seit dem Prioritatsdatum (in manchen Amtern sogarnoch ISnqer) 
verschieben mochte. 

Innerhalb von 20 Monaten seit dem Prioritatsdatum muB der Anmelder die fur den Eintritt in die nationale Phase vorgeschriebenen 
Handlungen vor alien Bestimmungsamtern vornehmen. die nicht innerhalb von 19 Monaten seit dem Prioritatsdatum in der 
Anmeldung oder einer nachtraglichen Auswahlerktarung ausgewShlt wurden Oder nicht ausgew^hlt werden konnten da fur sie 
Kapitel II des Vertrages nicht verbindlich ist. 



fviame und Postanschrift der Internationaien Recherche nbe horde 
EuropSisches Patentamt, P.B. 581 8 Patentlaan 2 
NL-2280 HV Rijswijk 

Tel. (+31-70) 340-2040. Tx. 31 651 epo nl, 
Fax: (+31-70) 340-3016 



Bevollmachtigter Bediensteter 

Theresia Van Deursen 
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Diese Anmerkungen sollen grundlegende Hinweiae rur Einreichung von Anderungen gemafl ff^^^]^^ ^eb^ 

liegen de EHordernis«e des Vertrags Qber die intemationale Zusammenarbeit auf dem Gebet des Patentwesens (PCT), der Auafuhmngs 
ordnung und der Verwattungsrichttinien zu diesem Vertrag zugrunde, Bei Abweichungen ^'schen " ^ 

obengenannten ToJrten eind letztere maflgebend. NAhere Einzelhoiten sind dem PCT-Lertfaden fur Anmelder. e.ner Vertffentl.chung der 

^^II^aS vefwendeten Begriffe 'Artiker, -Regel' und -Abschnitf bezieher, sich jeweils auf <*e Beslimmungen des 

PCT-Vertrags, der PCT-Ausfuhrungsofdnung hzw. der PCT-VerwaJtungsrichtlinten. 

HINWEISE ZU ANDERUNGEN GEMASS ARTIKEL 19 

Nach Erhalt des intemationaien Recherchenberichls hat der Anmelder die Mdglichkeit einmat die AnsprO^e d«^"t«/"^[!^ 
Anmeldung zu Sndem. Es ist jedoch zu betonen, dafl. da alia Teile der internalionalen Anmeldung (AnsprOche. Beschr^bur^ und 
Zeichnungen) wShrend des intemationalen voHAufigen PrOfungsverfahrens gear^rt werden kdnnen, rwrmaJen^ferse ke»f^ Notwen<4gkeil 
besteht Anderungen der Anspruche nach Artikei 1 9 einzureichen, auBer wenn der Anmelder z.B. zum Zwecke eines vort^figen 
SchuUes die Vef6ffentlichunT<Seser Anspruche minscht oder ein anderer Gfund fOr eine Anderung der Anspruche vor ihror intemationa- 
len Ver6ffentlichung vorltegt. Weiterhin ist zu beachten, daB ein voriaufiger Schutz nur in einigen Staaien ertidltlich ist. 



Welche Telle der Intemationalen Anmeldung konnen gedndert werden? 

Im Rahmen von Artikei 19 kdnnen nur die Anspruche geindert werden. 

In der intemationalen Phase k6nnen die AnsprOche auch nach Artikei 34 vor der mit der intemationalen voriaufigen ^^^""9^5)^'* 
tragten Beherde geandert (oder nochmats geandert) werden. Die Beschretbung und die Zeichnungen kdnnen nur nach Artikei 34 
vor der mit der intemationalen vortaufigen PrOfung beauflragten BehSrde geandert werden. 

Beim Etntrrtt in die nationale Phase kOnnen alle Teile der intemationalen Anmeldung nach Artikei 28 oder gegebenenfalls Artikei 
41 geandert werden. 



Ble wann slnd Anderungen einzureichen? 

Innertialb von zwei Monaten ab der Ubermittlung des intemationalen Recherchenberichts oder innertialb von sechzehn Monalen ab 
dem Prioritaisdatum, jo nachdem, welche Frist spater abiaufl. Die Anderungen getten jedoch als rechtzeitig eingereicht, wenn sie 
dem Intematwnalen BOro nach AWauf der maBgebenden Frist, aber noch vor AbschluB der techmschen Vorbereitungen fOr die 
intemattonaie Verdffenttichung (Regel 46.1 ) zugehen. 



Wo sInd die Anderungen nicht einzureichen? 

Die Anderungen k6nnen nur t>eim Intemationalen BQro, nicht aber beim Annrwideamt oder der Intemationalen Recherchenbeh6rde 
eingereicht werden (Regel 46.2). 

Falls ein Antrag auf intematkjnate voriaufige Prdfung eingereicht wurde/wird, siehe unten. 

In weicher Form kdnrwn Anderungen erfolgen? 

Eine Anderung kann ertdgen durch Streichung eines oder mehrerer ganzer AnspfOche, durch HinzufOgung eines oder mehrerer 
neuer Anspruche oder durch Anderung des Wortlauts eines oder mehrerer AnsprOche in der eingereichten Fassung. 

FQr jedes AnapruchsUatt, das sich aufgrund einer oder mehrerer Anderungen von dem ursprOnglich eingereichten Biatt 
unterscheidet, ist ein Ersatzblatt einzureichen. 

AJIe AnsprOche, die auf einem Ersatzblatt erscheinen, sind mit arabischen Ziffem zu numerieron. Wird ein Anspruch gestrichen, so 
brauchen. die anderen AnsprQche nicht neu numeriert zu werden. Im Fall einer Neunumerierung sind die AnsprOche fortlaufend zu 
numerieren (Verwaltungsrichttinien, Abschnitt 205 b)). 

Die Anderungen aind In dor Sprache abzufassen, In der dielntematlonale Anmeldung verdffentlicht wIrd. 



Walche Untertagen sind den Anderungen belzufOgen? 
Beglettachreiben (Abschnitt 205 b)): 

Die Anderungen sind mit einem Begleitschreiben einzureichen. 

Das Begleitschreiben wird nkjht zusammen mit der intemationalen Anmeldung und den geanderten Anspnjchen verflffentticht. Ea 
ist nicht zu verwechsein mit der 'Erkiarung nach Artikei 19(1)' (siehe unten, "ErWarung nach Artikei 19 (1)"). 

Das Baglettschreiben Ist nach Wahl des Anmelders In englischer oder franzdslscher Sprache abzufassen. Bel engllschspra- 
chlgen Intemationalen Anmeldungen ist das Begleitschreiben aber ebenfalls In englischer, bel franzoslschsprachlgen Inter- 
nationalen Anmeldungen In hanzdstscher Sprache abzufassen. 

t 
t 

! 

i 
t 

I 
i 

^1 
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verschiedenen Anspruchen k6nnen zusammengefaflt werden), ob 
j) der Anspruch unverdndert ist; 
ii) der Anspruch gestrichen worden ist; 
ill) der Anspruch neu rst; 

iv) der Anspruch einen oder mehref© AnsprOche in der eingereichten Fassung erselzt; 

V) der Anspruch auf d« Teilung eines Anspruchs in der eingereichten Fassung zuriokzufuhren ist. 



Im fdgenden slnd Belspiele angageben, wie Anderungon im Baglell^hroibefi zu artSutem sind: 

30, 33 und 36 unverflndoit; neu« AnsprOche 49 bis 51 hinzugetOgt. 

2 [Wenn anstelle von ursprilnglich 1 5 Ansprilchen nach der Anderung alter Anspruche 1 1 AnsprOche existieren). 
•Geinderte AnsprOche 1 bis 1 1 trolen an die Stelle der AnsprOche 1 bis 1 5. 

3 (Wenn umprOnglich 14 AnsprOche existierten und die Anderungen darih bestehen. daB einige AnsprOche gestrichen werden und 

r,;.S^?tS,%'u"^Ctri^l^; AnsprOche 7 b» 13 gestri^en; neue AnsprOche ^l^^VZr'::^"-'^' ''^'''' 
C^rtSJT? bis 13 gestrichen; neue AnsprOche 15. 16 und 17 hinzugefOgt, alle Qbngen AnsprOche unverAndert 

&TettS rer^d-T/iiSo";;^^^^^ AnsprOche 14. ISund 1 6 du^h ge^r^^en A 

eJ^i^lA Uetrt; IC^pmcS 17 in ^ftnderte AnsprOche 1 5. 16 und 1 7 unterteill; neue AnsprOche 20 und 21 h.nzugefOgt. 

'ErfcUrung nach Artlkel 1 9(1)" (Regol 46.4) 

Den Anderungen kann eine ErWSnjng beigefOgt werden. mit der die Andeningen ertiutert und ihre Auswirkungen auf de 
B^8<^Ilteirn?^d die Zeichnungen darB^egt werden (die nicW nach AHikel 1 9 (1 ) geindert werden kSnnen). 

Die Erkiamng winJ zusammen mit der intemaBonalen Anmeldung und den geflnderten Anspnichen verfitfentilcht. 
Sla Ist In der Sprache abzufasMn, In der die Intematlonaten Anmeldung verOftentllcDI wird. 

Sie muB Kurz gehatten sein und dart, wenn in englischer Sprache abgefaBt oder ins Englische Obersetzt. nichl mehr als 500 
Wdrter umf assen 

Die Erkiarung ist nicht zu verr»echseln mit dem Begleitschreiben. das auf die Unterschiede zwischen den ^nspr^on in cter 
^ngeS^ Fassung und den ge4nderten AnsprOchen hinweist. und en»el2t "'*l„S;e^t auf e.ne^ 
einlureichen und in der Clberschrifl als solche zu kennzeichnen, vorzugsweise m.t den Worten ErMSning nach Artikol 1 9 (1 ) . 

Die Erkiarung darf keine herabsetzenden AuBerungen Oberden inter nationalen F^erchenbencht oder '^.^^'f^^^l^^.^^'^"' 

i^ridit a^getthrten Verfltfentlichungen enthalten. Sie darf auf im intemationalen "^f^^ehenberwht angefQM^ 

gen. de sich auf einen bestimmten Anspruch beziehen. nur im Zusammenhang mit einer Andening dieses Anspruchs Bezug 

nehmen. 

Auswirkungen atnes berotts gesteltten Antrags auf intematlonalevortauflge PrOtung 

iBt zum ZeitDunkt der Einreichuna von Andemngen nach Artikel 19 beroits ein Antrag auf IntemMionale voriaufige P^lfung 
LlteTt wS^ srsolK^rr Anmelde^ in seined Interesse gleichzeitig mit der Einreichung der Andemngen l^m tntem^^n ^ 
eTro auTt^ Kopie der Anderungen bei der mit der intemationalen vorlSufigen PrOfung beauftragen Beh6rde emre.chen (s.eho 
Regel 62.2 a), erster Satz). 

Auswirkungen von Anderungen hinelchtllch der Obersetzung dertntematlonalen Anmeldung belm Elntrttt in die 
naitlonale Phase 

Der Anmetder wird darauf hingewiesen, daB bei Eintritl in die nationals Phase m6gl«he™,eise anstatt 

setzung der Anspruche in der eingereichten Fassung eine Ubersetzung der nach Artikel 1 9 geftnderten AnsprOche an die 

bestimmten/ausgewAhtten Amter zu Qbermitteln ist. 

N&here Einzelheiten Qber die Erfordemisse jedes bestimmten/ausgewflhtten Amts sind Band II des PCT-Leitfadens fOr Anmelder 
zu errtnehmen. 
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VERTRAGOBEgD.E.NTER^^^^^^ 

PCT 

INTERNATIONALER RECHERCHENBERICHT 




PCT/DE 98/01693 



Anmelder 



SIEMENS AKTIENGESELLSCHAFT et a1 



Dieser internationale Recherchenberich, wurde von der in.ernationalen Recherchenbeharde erste,,, und wird dem Anmelder gemaO 
Arttel 18 ubermittelt. Eine Kopie wird dem Internationalen Buro uberm.ttelt. 

Dieser internationale Recherchenberich! umfa«t insgesamt _3 Blatter. T^^nik Koi 

a Sober hlnaus liegt ihm iewei.s eine Kopie der in diesem Bericht genannten Unterlagen zum Stand der Techn,k be,. 



□ Bestimmte Anspruche haben sich als nichtrecherchierbar erwiesen (siehe Feld 1). 

2. Q Mangelnde EInheitlichkeit der Erfindung(siehe Feld II). 

3 n in der internationalen Anmeldung ist ein Protoko.l einer Nucleotid- und/oder Aminosaurcsequen. offenbart; die internationale 

' Recherche wurde aut der Grundlage des Sequenzprotokolls durchgefuhrt. 



□ 
□ 



das zusammen mit der internationalen Anmeldung eingereicht wurde. 
das vom Anmelder getrennt von der internationalen Anmeldung vorgelegt wurde, 

n dem iedoch keine Erklarung beigefugt war. dafi der Inhalt des Protokolls nicht "ber den 

aterlba^Lngs^ehalt der intlrna«onalen Anmeldung in der eingereichten Fassung hinausgeht. 



□ das von der Internationalen Recherchenbehorde in die ordnungsgemaBe Form iibertragen wurde. 

Hinsichtlich der Bezelchnung der Erflndung 

I I wird der vom Anmelder eingereichte Wortlaut genehmigt. 
lYI wurde der Wortlaut von der BehOrde wie folgt festgesetzt. 

VERFAHREN UND COMPUTERSYSTEM ZUR CODIERUNG EINER NACHRICHT 



Hinsichtlich der Zusammenfassung 

wird der vom Anmelder eingereichte Wortlaut genehmigt: 

v.,MrHo Hor wnrtipiit nach Renel 38 2b) in der Feld 111 angegebenen Fassung von dieser Behorde 
restolset^^^^^^ Recherchenbehorde innerhalb eines Monats nach 

dem Dat!^ dir Absendung dieses internationalen Recherchenberichts e.ne Stellungnahme vorlegen. 



□ 



6. Folgende Abbildung der Zeichnungen ist mit der Zusammenfassung zu verottentlichen 
y^tjtj fvjr ]^ [Yl wie vom Anmelder vorgeschlagen 



I I keine der Abb. 



I I weil der Anmelder setbst keine Abbildung vorgeschlagen hat. 
I I weil diese Abbildung die Ertindung besser kennzeichnet. 
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INTERNATIONALER RECHERCHENBERICHT 



Internationales Aktenzeichen 

PCT/DE 98/01693 ' 



A KLASSIFIZIERUNG DES ANMELDUNGSGEGENSTANDES 

IPK 6 H04L29/06 



Nach der Internauonalen Patentklassrfikation (\PK) Oder nach der nation alen Klassifikation and der IPK 
RECHERCHIERTE GEBIETE 



Recherchierter Mindestprufstoft (Klassitikaiwnssystem und Klassrfikationssymbole ) 

IPK 6 H04L 



Recherchierte aber nicht zum Mi 



ndestprufstoff gehorende Verotfentlichungen. soweit diese unter die recherchierten Gebiete fallen 



Wahrend der internationalen 



Recherche konsultierte elektronische Oatenbank (Name der Datenbank und evtl. ven^endete Suchbegritfe) 



C. ALS WESENTLICH ANGESEHENE UNTERLAGEN 



Kategorie^ 



Bezeichnung der Verotfentlichung. soweit ertorderllch unter Angabe der in Betracht kommenden Telle 



Betr. Anspmch Nr. 



DE 195 48 387 C (SIEMENS AG) 
30. Januar 1997 



I- 6, 

II- 20, 
25,27 
7-10, 
21-24,26 



siehe 


Zusammenf assung 






siehe 


Spalte 1, Zeile 


64 - 


Spalte 


40 






Spalte 


siehe 


Spalte 4, Zeile 


47 - 


2 

siehe 


Spalte 5, Zeile 


23 - 


Spalte 


17 








siehe 


Abbildung 7 







-/- 



Weitere Verotfentlichungen sind der Fortsetzung von Feld C zu 
entnehmen 



0 



Siehe Anhang Patenttamilie 



' Besondere Kategorlen von angegebenen Verotfentlichungen 

"A" Verotfentlichung, die den allgemeinen Stand der Technik definiert. 
aber nich! als besonders bedeutsam anzusehen ist 

"E" alteres Dokument, das jedoch erst am Oder nach dem internationalen 
Anmeldedatum verbffentlicht w/orden ist 

T" Veroffentlichung, die geeignet ist, einen Prioritatsanspruch zweifelhaft er- 
scheinen zu lassen, Oder durch die das Verotfentlichungsdaturri einer 
anderen im Recherchenbericht genannten Veroffentlichung belegt werden 
soli Oder die aus einem anderen besonderen Grund angegeben ist {we 
ausgefuhrt) 

"O" Veroffentlichung, die sich auf eine mundliche Offenbarung, 

eine Benutzung. eine Aussteilung Oder andere Maf3nahmen bezieht 
"P" Veroffentlichung. die vor dem intemationaten Anmeldedatum, aber nach 
dem beanspruchten Prloritatsdatum veroffentlicht yyorden ist 



■T" Spatere Veroffentlichung, die nach dem internationalen Anmeldedatum 
Oder dem Prioritatsdatum veroffentlicht worden ist und mit der 
Anmeldung nicht kollidiert. sondern nur zum Verstandnis des der 
Ertindung zugrundeliegenden Prinzips oder der ihr zugrundellegenden 
Theorie angegeben ist 

"X" Veroffentlichung von besonderer Bedeutung; die beanspruchte Eriindung 
kann allein aufgojnd dieser Veroffentlichung nicht als neu oder auf 
ertinderischer Tatigkeit beruhend betrachtet werden 

"Y" Veroffentlichung von besonderer Bedeutung: die beanspruchte Ertindung 
kann nicht als auf ertinderischer Tatigkeit beruhend betrachtet 
werden wenn die Veroffentlichung mit einer oder mehreren anderen 
Veroffentlichungen dieser Kategorie in Verbindung gebracht wird und 
diese Verbindung fur einen Fachmann naheiiegend ist 

■•&" Veroffentlichung. die Mitglied derselben Patenttamilie ist 



Datum des Abschlusses der internationalen Recherche 

25. Februar 1999 



Absendedatum des internationalen Recherchenberichts 



04/03/1999 



Name und Postanschrift der Internationalen Recherchenbehorde 
Europaisches Patentamt, P.B. 5818 Patentlaan 2 
NL - 2280 HV Rijswijk 
Tel. (+31-70) 340-2040. Tx. 31 651 epo nt. 
Fax: (+31-70) 340-3016 



Bevollmachtigter Bediensteter 



Lazaro Lopez, M.L. 



Foimblan PCT/ISA/21 0 (Blatt 2) (Juli 1992) 



Seite 1 von 2 



INTERNATIONALER RECHERCHENBERICHT 



Internationales Aktenzeichen 

PCT/DE 98/01693 



C.(Fortsetzung) ALS WESENTLlCH ANGESEHENE UNTERLAGEN 



Kategorie- 



Beze-chnung der Veroflerttlichung, sowert ertorderlich unter Angabe der m Betrachi kommenden TeHe 



EP 0 645 912 A (IBM) 29. Marz 1995 

siehe Zusammenfassung 

siehe Spalte 2, Zeile 17-52 ^ , , 

siehe Spalte 4, Zeile 26 - Spalte 7, Zeile 

5 

siehe Spalte 8, Zeile 38 - Spalte 9, Zeile 
38 
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INTERNATIONALER RECHERCHENBERICHT 

Arvgaben zu Veroftentlichungen. die zur selben Patenttamiiie gehoren 


imernanonates 

PCT/DE " 


Akienzeicnen 

38/01693 


Im Recherchenbericht 
angefuhrtes Patentdokument 


Datum der 
Veroffentlichung 


Mitglied(er) der 
Patenttamiiie 


Datum der 
V e roff e n ti i ch u ng 



DE 19548387 



30-01-1997 



WO 
EP 



0868804 A 



07-10-1998 



EP 0645912 


A 


29-03-1995 


US 


5440633 


A 


08-08-1995 






JP 


2610107 


B 


14-05-1997 








JP 


7087116 


A 


31-03-1995 








US 


5524052 


A 


04-06-1996 
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PATENT COOPERATION TREATY 



From the INTERNATIONAL BUREAU 



PCT 


To: 


NOTIFICATION OF ELECTION 


United States Patent and Trademark 




Office 


iPCT Rule 61 2^ 


(Box PCT) 


Crystal Plaza 2 




Washington, DC 20231 




PTAT<;-UNI^ r^'AMERIQUE 


Date of mailing (day/month/year) 


in its capacity as elected Office 


10 February 1999 (10.02.99) 


International application No. 


Applicant's or agenf s file reference 


PCT/DE98/01693 


GR 97P1798P 


International filing date (d a v/mo nth/year) 


Priority date (day/month/year) 


19 June 1998(19.06.98) 


26 June 1997 (26.06.97) 


Applicant 




CAPELLARO, Christoph et a! 




1. The designated Office is hereby notified of its election made: 


in the demand filed with the International Preliminary Examining Authority on: 


22 January 1999 (22.01.99) 


1 I in a notice effecting later election filed with the International Bureau on: 


2. The election ^] was 




1 1 was not 




made before the expiration of 19 months from the priority date or, where Rule 32 applies, within the time limit under 


Rule 32.2(b). 




|- 

The Intemationai uufO&J of vVirO 


Authorized officer 




34, chemin des Colombettes 


AIno Metcalfe 


1211 Geneva 20, Switzerland 




Facsimile No.: (41-22) 740.14.35 


Telephone No.: (41-22) 338.83.38 


Form PCT/IB/331 (July 1992) 


2472172 



PATENT COOPERATION TREATY 

PCT 

INTERNATIONAL PRELIMINARY EXAMINATION REPOR'ig 
(PCT Article 36 and Rule 70) ^ 



— I -x^ 
ro 



m 

CO 

m 
m 



Applicant's or agent's file reference 
GR97P1798P 


See Notification of Transmit^ of International 
FOR FURTHER ACTION preliminary Examination Report (iSm PCT/IPEA/4 1 6) 


International application No. 

PCT/DE98/01693 


International filing date {day/month/year) 
19 June 1998(19,06.1998) 


Priority date {day/month/year) 

26 June 1997 (26.06.1997) 


International Patent Classification (IPC) or national classification and IPC 
H04L 9/00 


^PP^*'^' SIEMENS AKTIENGESELLSCHAFT 



This international preliminary examination report has been prepared by this International Preliminary Examining 
Authority and is transmitted to the applicant according to Article 36. 



This REPORT consists of a total of 



sheets, including this cover sheet. 



□ This report is also accompanied by ANNEXES, i.e., sheets of the description, claims and/or drawings which have 
been amended and are the basis for this report and/or sheets containing rectifications made before this Authority 
(see Rule 70.16 and Section 607 of the Administrative Instructions under the PCT). 



These annexes consist of a total of _ 



sheets. 



This report contains indications relating to the following items: 
Basis of the report 
Priority 

Non-establishment of opinion with regard to novelty, inventive step and industrial applicability 
Lack of unity of invention 

Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 

Certain documents cited 
Certain defects in the international application 
'Certain observations on the international application 



I 


12S1 


II 


□ 


III 


□ 


IV 


□ 


V 




VI 


□ 


VII 




VIII 





Date of submission of the demand 

22 January 1999 (22.01.1999) 


Date of completion of this report 

07 October 1999 (07.10.1999) 


Name and mailing address of the IPEA/EP 
European Patent Office 
D-80298 Munich, Germany 

Facsimile No. 49-89-2399-4465 


Authorized officer 
Telephone No. 49-89-2399-0 



Form PCT/IPEA/409 (cover sheet) (January 1994) 



International application No. 

INTERNATIONAL PRELIMINARY EXAMINATION REPORT PCT/DE98/01 693 

I 1. Basis of the report 

[ — [ the international application as originally filed. 

1^ the description, pages . ^-^7 , as originally filed. 

pages , filed with the demand, 

pages filed with the letter of 

pages .» filed with the letter of — 



the claims, 



Nos. 
Nos. 
Nos. 
Nos. 
Nos. 



1-27 



, as originally filed, 

, as amended under Article 19, 

, filed with the demand, 

, filed with the letter of 

, filed with the letter of 



the drawings, 



sheets/fig . 
sheets/fig . 
sheets/fig , 
sheets/fig 



1/11-11/11 



, as originally filed, 
, filed with the demand, 
, filed with the letter of 
, filed with the letter of 



I 2. The amendments have resulted in the cancellation of: 

\ I the description, pages 

I I the claims, Nos. — . 



I I the drawings, sheets/fig 



rn This report has been established as if (some of) the amendments had not been made si^^^^ they have been considered 
3- U gVSd^^^^^ as filed, as indicated in the Supplemental Box (Rule 70.2(c)). 



4. Additional observations, if necessary: 



Form PCT/IPEA/409 (Box I) (January 1994) 



INTERNATIONAL PRELIMINARY EXAMINATION REPORT 



International ^plication No. 

PCT/DE 98/01693 



V. Reasoned statement under Article 35(2) with regard to novelty, inventive step or industrial applicability; 
citations and explanations supporting such statement 



Statement 
Novelt>' (N) 

Inventive step (IS) 
Industrial applicabilit>' (lA) 



Claims 
Claims 

Claims 
Claims 

Claims 
Claims 



1 - 11, 13 - 27 



12 



1 - 11, 13 - 27 



12 



1-27 



YES 
NO 
YES 
NO 

YES 
NO 



Citations and explanations 

1. Reference is made to the following documents: 
Dl = DE-C-195 48 387 

D2 = EP-A-0 645 912 

2. The invention pertains to a method and device for 
coding digital information (Claims 1 and 13), a 
method and device for decoding digital information 
(Claims 2 and 14) and a method and device for coding, 
transmitting and decoding digital information in a 
computer system (Claims 3 and 15). 

3. Document Dl is regarded as the closest prior art for 
the subject matter of Claim 1 and discloses a method 
for the cryptographic protection of a computer- 
assisted digital communication between a program and 
a server.-. In that method, a program provides 
information and codes the information for a transport 
protocol. Immediately after coding, the coded 
information is decoded and the decoded information is 
subjected to a cryptographic process via the 
transport protocol. The cryptographically processed 
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information is re-coded via the transport protocol 
and transmitted to a server. 

4. The invention is based on a different, simpler 

concept: the information is coded using a coding 
format of a network protocol to form coded 
information. The coded information is then subjected 
to a cryptographic process. The cryptographically 
processed information is re-coded using the coding 
format of the network protocol. 

The coding method according to Claim 1 is 
distinguished from the method known from document Dl 
in that the decoding prior to the cryptographic 
process is dispensed with. Consequently, two-fold 
coding using the same coding format is carried out in 
the method according to Claim 1. This procedure is 
simpler, faster and therefore more efficient. 

There is no suggestion to be found in Dl that the 
sequence of processing steps to which information is 
subjected could be modified and simplified, 
especially as Dl emphasises that this sequence of 
processing steps is advantageous. Nor is there any 
suggestion in D2 of the problem addressed by the 
invention, namely to find an improved process for 
coding or decoding information, because the problem 
(namely improved authentication monitoring in network 
management) is of a different, higher order than the 
problem addressed by the invention. Consequently, 
the subject matter of Claim 1 involves an inventive 
step and therefore meets the criterion specified in 
PCT Article 33(3). 
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5. In the procedure according to Claim 2 for decoding 
information, the processing steps for coding the 
information are carried out in inverse order and in 
each case with an inverse process to that used for 
coding. The subject matter of independent Claim 2 
therefore involves an inventive step and hence meets 
the criterion specified in PCT Article 33(3). 

6. independent Claim 3 relates to a method for coding 
information according to Claim 1, for transmitting 
the information from a first computer unit to a 
second computer unit and for decoding information 
according to Claim 2. Consequently, the subject 
matter of Claim 3 involves an inventive step (PCT 
Article 33(3) ) . 



7. 



Claims 4 to 11 are dependent on Claims 1, 2 or 3, and 
therefore they, too, meet the requirements of the PCT 
with regard to novelty and inventive step. 



8. Independent Claim 12 relates only to a device 
comprising a computer unit and contains no additional 
technical feature (see Box VIII). The subject of 
this claim is therefore not novel (PCT Article 
33(2)). 

9. Independent Claims 13 to 15 include the device 
features corresponding to process Claims 1 to 3 and 
therefore "they, too, meet the requirements of the PCT 
with regard to novelty and inventive step. 

10. Claims 16 to 27 are dependent on Claims 13, 14 or 15 
and therefore they, too, meet the requirements of the 
PCT with regard to novelty and inventive step. 
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VII. Certain defects in the international application 



The following defects in the form or contents of the international application have been noted: 



1. The description did not cite document Dl and did not 
indicate the relevant prior art disclosed therein, in 
contravention of the requirements of PCT Rule 
5.1(a) (ii) . 

2. The features of the claims are not followed by 
reference signs placed between parentheses (PCT Rule 
6.2(b)). 

3. Independent Claims 1, 2, 3, 13, 14 and 15 have not 
been worded in the two-part form according to PCT 
Rule 6*3(b). In the present case, however, the two- 
part formulation seems appropriate. Consequently, 
the features which, in combination, are known from 
the prior art (document Dl) should be incorporated in 
a preamble (PCT Rule 6.3(b) (i)) and the other 
features should be specified in a characterizing 
portion (PCT Rule 6.3(b) (ii)). 

The applicants have not given any reasons as to why 
these claims should not have the two-part 
formulation. Furthermore, they have not clearly 
indicated in the description which features of the 
subjects of Claims 1, 2, 3, 13, 14 and 15 are already 
known from document Dl; see PCT Preliminary 
Examination Guidelines PCT/GL/3, Ch. Ill, 2.3a. 
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VIII. Certain observations on the international application 



n,e following obsen ations on the clarit>' of the claims, descripUon, and drawings or on the question whether the claims are fully 
supported by the description, are made: 

Claim 12 does not comply with the requirements of PCT 
Article 6 in conjunction with PCT Rule 6.3: 

Claim 12 is, despite its reference to other claims, an 
independent claim. According to PCT Rule 6.3, every 
independent claim must contain all the essential technical 
features necessary for the definition of the invention, that 
is, the meaning of every independent claim must be clear 
from the wording of the claim alone (without reference to 
other independent claims). Claim 12 should therefore 
contain technical features of a device. 
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INTERNATIONALER VORLAUFIGER PRUFUNGSBERICHT 

(Artikel 36 und Regel 70 PCT) 



Aktenzeichen des Anmelders oder Anwalts 
GR 97P1798P 


siehe Mitteilung Qber die Ut)ersendung des intemationalen 
WEITERES VORGEHEN vorlaufigen Prufungsbericht (Formblatt PCT/lPEA/416) 


Internationales Aktenzeichen 
PCT/DE98/01693 


Internationales Anrr\e\deda.tumCrag/Monat/Jahr) 
19/06/1998 


Priorltatsdatum (Tag/Monat/Tag) 
26/06/1997 



Internationale Patentfclassification (IPK) oder nationale Wassifikation und IPK 
H04L9/00 



Anmelder 

SIEMENS AK TIENGESELLSCHAFT et aL 

1 . DIeser internationale vorlauf ige Prutungsberlcht wurde von der mit der Internationale vorlaufigen Prufung beauftragte 
Behorde erstellt und wird dem Anmelder gemaB Artikel 36 Qbermittelt. 



2. Dieser BERICHT umfaBt insgesamt 7 Blatter einschlieRlich dieses Deckblatts. 

□ AuBerdem liegen dem Bericht ANLAGEN bei; dabei handett es sich urn Blatter mit Beschreibungen, Anspruchen 
und/oder Zeichnungen. die geandert warden und diesem Bericht zugrunde liegen, und/oder Blatter mit vor dieser 
Behorde vorgenommenen Berichtigungen (siehe Regel 70.16 und Abschnitt 607 der Venwattungsrichtlmien zum PCT). 



Diese Aniagen umfassen insgesamt Blatter. 



3. Dieser Bericht enthalt Angaben zu folgenden Punklen: 

I S Grundtage des Berichts 

II □ Prioritat 

III □ Keine Erstellung eines Gutachtens Qber Neuheit, erfinderische Tatigkeit und gewerbliche Anwendbarkeit 

IV □ Mangelnde Einheitlichkeit der Erfindung 

V S Begrundete Feststellung nach Artikel 35(2) hinsichtlich der Neuheit, der erfinderische Tatigkeit und der 

gewerbliche Anwendbarkeit; Unterlagen und Erklarungen zur StQtzung dieser Feststellung 

VI □ Bestimmte angefOhrte Unterlagen 

VII S Bestimmte Mangel der intemationalen Anmeldung 

vill S Bestimmte Bemerkungen zur intemationalen Anmeldung 



Datum der Einreichung des Antrags 
22/01/1999 


Datijm der Fertigstellung dieses Berichts 

0 7. 10. 99 


Name und Postanschrift der mit der intemationalen vorlaufigen 
PrUfung beauftragten Behorde: 

^ Europaisches Patentamt 
/S)) D-80298 Miinc^en 

^g/' TeL +49 89 2399 - 0 Tx: 523656 epmu d 
Fax: 449 89 2399 - 4465 


Bevollmachtigter Bediensteter 

Cretaine, P t ^ j) 

Tel. Nr. +49 89 2399 8828 
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I. Grundlage des Berichts 

1 Dieser Bericht wurde ersteitt aut der Grundlage {Ersatzblatten die dem Anmeldeamt auf sine Aufforderung nach 
' Artikel 14 bin vorgelegt wurden, gelten im Rahmen dieses Berichts als "ursprunglich eingereicht und sind ihm 
nicht beigefugt, weil sie keine Anderungen enthatten,y. 

Beschreibung, Seiten: 

1-27 ursprungliche Fassung 

Patentanspruche, Nr.: 

1 _27 ursprungliche Fassung 

Zeichnungen, Blatter: 

1/11-11/11 ursprungliche Fassung 



2. Aufgrund der Anderungen sind folgende Unterlagen fortgefallen: 

□ Beschreibung, Seiten: 

□ Anspruche, Nr.: 

□ Zeichnungen, Blatt: 

3 □ Dieser Bericht ist ohne Berucksichtigung (von einigen) der Anderungen erstellt worden da diese aus den 
angegebenen Grunden nach Auffassung der Behorde uber den Offenbarungsgehalt in der ursprunglich 
eingereichten Fassung hinausgehen (Regel 70.2(c)): 



4. Etwaige zusatzliche Bemerkungen: 



V Begriindete Feststellung nach Artikel 35(2) hinsichtlich der Neuheit, der erfinderischen Tatigkeit und der 
" gewerblichen Anwendbarkeit; Unterlagen und Erklarungen zur Stiitzung dieser Feststellung 

1. Feststellung 

Neuheit (N) 



Erfinderische Tatigkeit (ET) 



Ja: 


Anspruche 


1-11, 13-27 


Nein: 


Anspruche 


12 


Ja: 


Anspruche 


1-11, 13-27 


Nein: 


Anspruche 


12 


Ja: 


Anspruche 


1-27 


Nein: 


Anspruche 
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2. Unterlagen und Erklarungen 
siehe Belblatt 



VII. Bestlmmte Mangel der Internationalen Anmeldung 

Es wurde festgestellt, daB die intemationale Anmeldung nach Fonn oder Inhalt folgende Mangel aufweist: 
siehe Beiblatt 



VIII. Bestimmte Bemerkungen zur internationalen Anmeldung 

Zur Klarheit der Patentanspruche, der Beschreibung und der Zeichnungen oder zu der Frage. ob die Anspruche 
in vollem Umfang durch die Beschreibung gestutzt werden, ist folgendes zu bemerken: 

siehe Beiblatt 
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Zu Punkt V 

Begrundete Feststellung nach Artikel 35(2) hinsichtlich der Neuheit, der 
erfinderischen Tatigkeit und der gewerblichen Anwendbarkeit; Unterlagen 
Erklarungen zur Stutzung dieser Feststellung 

1 . Es wird auf die folgenden Dokumente verwiesen: 



D1 = DE-C-195 48 387 



D2 = EP-A-0 645 912 



2 Die Erfindung betrifft ein Verfahren und eine Vorrichtung zur Codierung einer 

digitalen Nachricht (Anspruche 1 und 13). ein Verfahren und eine Vorrichtung zur 
Dekodierung einer digitalen Nachricht (Anspruche 2 und 14). sowie ein Verfahren 
und eine Vorrichtung zur Codierung. Ubertragung und Dekodierung einer digitalen 
Nachricht in einem Computersystem (Anspruche 3 und 15). 

3. Das Dokument D1 wird als nachstliegender Stand der Technik gegenuber dem 
Gegenstand des Anspruchs 1 angesehen und offenbart ein Verfahren zur 
kryptographischen Sicherung einer rechnergestutzten digitalen Kommunikation 
zwischen einen Programm und einer Benutzereinheit. Bei diesem Verfahren wird 
von einem Programm eine Nachricht gebildet und die Nachricht fur ein 
Transportprotokoll codiert. Direkt nach der Codierung wird unter Verwendung des 
Transportprotokolls die codierte Nachricht wieder decodiert und die decodierte 
Nachricht einem kryptographischen Verfahren unterzogen. Danach wird die 
kryptographisch bearbeitete Nachricht wiederum mit dem Transportprotokoll 
codiert und an eine Benutzereinheit ubertragen. 

4 - Die Erfindung geht von einem anderen. einfacheren Ansatz aus: die Nachricht 
wird unter Venwendung eines Codierungsformats eines Netzwerkprotokolls zu 
einer codierten Nachricht codiert. AnschlieBend wird die codierte Nachricht einem 
kryptographischen Verfahren unterzogen. Die kryptographische bearbeitete 
Nachricht wird unter Venwendung des Codierungsformats des Netzwerkprotokolls 
ein welters Mai codiert. 
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Das Codierungsverfahren gema3 Anspruch 1 unterscheidet sich von dem aus 
dem Dokument D1 bekannten Verfahren dadurch. daB die Dekodierung vor dem 
kryptographischen Verfahren entfallt. Deshalb erfolgt bei dem Verfahren gemaB 
Anspruch 1 eine zweifache Codierung unter Venwendung des gleichen 
Codierungsformats. Diese Vorgehensweise ist einfacher. schneller und damit 
effizienter. 

In D1 ist kein Hinweis darauf zu finden daB die Abfolge von Bearbeitungsschritten. 
denen eine Nachricht unterzogen wird. geandert und vereinfacht werden konnte. 
zumal gerade diese Abfolge von Bearbeitungsschritten in D1 als vorteilhaft 
herausgestellt wird. In D2 ist auch kein Hinweis auf die Aufgabe der Erfindung. 
namlich eine verbesserte Codierung bzw. Decodierung einer Nachricht. zu finden. 
da die Aufgabe (namlich eine verbesserte Authentizitatsuberprufung im Rahmen 
einer Verwaltung eines Netzwerks) eine andere, ubergeordnete Ebene als die 
Aufgabe der Erfindung betrifft. Der Gegenstand des Anspruchs 1 beruht somit auf 
einer erfinderischen Tatigkeit und erfullt damit das in Artikel 33(3) PCT genannte 
Kriterium. 

5. Bei der Vorgehensweise gemaB Anspruch 2 zur Dekodierung einer Nachricht 
werden die Bearbeitungsschritte bei der Codierung der Nachricht in umgekehrter 
Reihenfolge und mit jeweils einem zu dem bei der Codierung verwendeten 
inversen Verfahren durchgefuhrt. Der Gegenstand des unabhangigen Anspruchs 
2 beruht somit auf einer erfinderischen Tatigkeit und erfullt damit das in Artikel 
33(3) PCT genannte Kriterium. 

6 Der unabhangige Anspruch 3 bezieht sich auf ein Verfahren zur Kodierung einer 
Nachricht gemaB Anspruch 1. zur Ubertragung der Nachricht von einer ersten 
Computereinheit zu einer zweiten Computereinheit und zur Dekodierung einer 

- Nachricht gemaB Anspruch 2. Deshalb beruht der Gegenstand des Anspruchs 3 
auf einer erfinderischen Tatigkeit (Artikel 33(3) PCT). 

7 Die Anspruche 4 bis 11 sind von Anspruche 1 , 2 Oder 3 abhangig und erfullen 
damit ebenfalls die Erfordernisse des PCT in bezug auf Neuheit und erfinderische 
Tatigkeit. 
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8 Der unabhangige Anspruch 1 2 bezieht sich lediglich auf eine Vorrichtung mit einer 
Recheneinheit und enthalt kein weiteres technisches Merkmal (siehe Punkt VIII). 
Der Gegenstand diese Anspruchs ist daher nicht neu (Artikel 33(2) PCT). 

9. Die unabhangigen Anspruche 13 bis 15 enthalten die den Verfahrenanspruche 1 
bis 3 entsprechenden Vorrlchtungsmerkmale und erfullen damit ebenfalls die 
Erfordernisse des PCT in bezug auf Neuheit und ertinderische Tatigkeit. 

10 Die Anspruche 1 6 bis 27 sind von Anspruche 1 1 3, -1 4 oder 1 5 abhangig und 
erfullen damit ebenfalls die Erfordernisse des PCT in bezug auf Neuheit und er- 
finderische Tatigkeit. 



Punkt VII 

Bestimmte Mangel der internationalen Anmeldung 



1 . im Widerspruch zu den Erfordernissen der Regel 5.1 a) ii) PCT werden in der 
Beschreibung weder der in dem Dokument D1 offenbarte einschlagige Stand der 
Technik noch dieses Dokument angegeben. 

2. Die Merkmale der Anspruche sind nicht mit in Klammern gesetzten Bezugs- 
zeichen versehen worden (Regel 6.2 b) PCT). 

3. Die unabhangigen Anspruche 1,2. 3. 13, 14 und 1 5 sind nicht in der zweiteiligen 
Form nach Regel 6.3 b) PCT abgefaBt. Im vorliegenden Fall erscheint die 

- Zweiteilung jedoch zweckmaBig. Folglich sollten die in Verbindung miteinander 
aus dem Stand der Technik bekannten Merkmale (Dokument D1) in einem 
Oberbegriff zusammengefaBt (Regel 6.3 b) i) PCT) und die iibrigen Merkmale in 
einem kennzeichnenden Teil aufgefuhrt werden (Regel 6.3 b) ii) PCT). 

Der Anmelder hat keine Grunde dafiir genannt, warum diese Anspruche nicht die 
zweiteilige Form habfin sollten. Femer hat er in der Beschreibung nicht klar 
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angegeben, welche Merkmale der Gegenstande der Anspruche 1 , 2. 3. 13, 14 
und 15 bereits aus dem Dokument D1 bekannt sind; siehe die PCT-Richtlinien 
PCT/GL73 III, 2.3a. 



Zu Punkt vm 

Bestimmte Bemerkungen zur internationalen Anmeldung 

Anspruch 12 entspricht nicht den Erfordernissen des Artlkels 6 PCT in Verbindung 
mit Regel 6(3) PCT: 

Der Anspruch 12 ist. trotz seiner Bezugnahme auf andere Patentanspriiche. ein 
unabhangiger Anspruch. GemaB Regel 6(3) PCT hat jeder unabhangige 
Anspruch die fur die Festlegung des Gegenstandes des Schutzbegehrens 
notwendigen wesentlichen technischen Merkmale der Erfindung zu enthalten. d.h. 
jeder unabhangige Anspruch muB mit seinem Wortlaut aus sich heraus (ohne 
Ruckbeziehung auf andere selbstandige Anspruche) verstandlich sein. Anspruch 
12 sollte deshalb technische Merkmale einer Vorrichtung enthalten. 
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